Disponibilidade de segurança da informação. Segurança de dados: Garantindo a segurança da informação

Norbert Wiener, o criador da cibernética, acreditava que a informação tem características únicas e não pode ser atribuída nem à energia nem à matéria. O status especial da informação como fenômeno deu origem a muitas definições.

O glossário da ISO/IEC 2382:2015 "Tecnologia da Informação" fornece a seguinte interpretação:

Informação (no domínio do processamento de informação)- quaisquer dados apresentados em formato eletrônico, escritos em papel, falados em uma reunião ou em qualquer outro meio utilizado por uma instituição financeira para tomada de decisão, transferência de fundos, fixação de taxas, concessão de empréstimos, processamento de transações, etc., incluindo componentes Programas sistemas de processamento.

Para desenvolver o conceito de segurança da informação (SI), entende-se por informação a informação que está disponível para coleta, armazenamento, processamento (edição, transformação), uso e transmissão de diversas formas, inclusive em redes de computadores e outros sistemas de informação.

Tais informações são de alto valor e podem se tornar objetos de violação por terceiros. O desejo de proteger as informações de ameaças está na base da criação de sistemas de segurança da informação.

Base jurídica

Em dezembro de 2017, a Doutrina de Segurança da Informação foi adotada na Rússia. No documento, o IB é definido como um estado de proteção dos interesses nacionais em esfera de informação. Neste caso, os interesses nacionais são entendidos como a totalidade dos interesses da sociedade, do indivíduo e do Estado, cada grupo de interesses é necessário para o funcionamento estável da sociedade.

A doutrina é um documento conceitual. As relações jurídicas relacionadas à garantia da segurança da informação são regulamentadas por leis federais "Sobre Segredos de Estado", "Sobre Informações", "Sobre Proteção de Dados Pessoais" e outras. Com base em regulamentos fundamentais, regulamentos governamentais e regulamentos departamentais são desenvolvidos em questões específicas de proteção de informações.

Definição de segurança da informação

Antes de desenvolver uma estratégia de segurança da informação, é necessário aceitar uma definição básica do próprio conceito, que permitirá a utilização de um determinado conjunto de métodos e métodos de proteção.

Os profissionais da indústria propõem entender a segurança da informação como um estado estável de proteção da informação, seus portadores e infraestrutura, que garante a integridade e estabilidade dos processos relacionados à informação contra impactos intencionais ou não intencionais de natureza natural e artificial. Os impactos são classificados como ameaças de SI que podem causar danos aos sujeitos das relações de informação.

Assim, a proteção da informação será entendida como um conjunto de medidas legais, administrativas, organizacionais e técnicas que visam prevenir ameaças reais ou percebidas à segurança da informação, bem como eliminar as consequências de incidentes. A continuidade do processo de proteção da informação deve garantir o combate às ameaças em todas as etapas do ciclo da informação: no processo de coleta, armazenamento, processamento, uso e transmissão da informação.

Segurança da Informação nesse sentido, torna-se uma das características do desempenho do sistema. A cada momento, o sistema deve ter um nível de segurança mensurável e garantir a segurança do sistema deve ser um processo contínuo que é realizado em todos os intervalos de tempo durante a vida útil do sistema.

O infográfico usa dados de nossa própriaSearchInform.

Na teoria da segurança da informação, os sujeitos de SI são entendidos como proprietários e usuários das informações, e usuários não apenas de forma contínua (funcionários), mas também usuários que acessam bancos de dados em casos isolados, por exemplo, órgãos governamentais solicitando informações. Em alguns casos, por exemplo, nos padrões de segurança da informação bancária, os acionistas são considerados proprietários da informação - entidades legais O ao qual os dados específicos pertencem.

A infraestrutura de suporte, do ponto de vista dos fundamentos da segurança da informação, inclui computadores, redes, equipamentos de telecomunicações, instalações, sistemas de suporte à vida e pessoal. Ao analisar a segurança, é necessário estudar todos os elementos dos sistemas, prestando atenção especial ao pessoal como portador da maioria das ameaças internas.

Para gerenciar a segurança da informação e avaliar os danos, é utilizada uma característica de aceitabilidade, assim, o dano é determinado como aceitável ou inaceitável. É útil que cada empresa aprove seus próprios critérios para aceitar danos em termos monetários ou, por exemplo, na forma de dano aceitável à reputação. Nas instituições públicas, outras características podem ser adotadas, por exemplo, o impacto no processo de gestão ou reflexo do grau de dano à vida e à saúde dos cidadãos. Os critérios de materialidade, importância e valor das informações podem mudar no decorrer do ciclo da vida matriz de informações, portanto, deve ser revisada em tempo hábil.

Uma ameaça de informação em sentido estrito é uma possibilidade objetiva de influenciar o objeto de proteção, o que pode levar a vazamento, roubo, divulgação ou disseminação de informações. Em um sentido mais amplo, as ameaças à segurança da informação incluirão impactos informacionais direcionados, cujo objetivo é causar danos ao estado, organização ou indivíduo. Tais ameaças incluem, por exemplo, difamação, deturpação deliberada, publicidade incorreta.

Três questões principais do conceito de segurança da informação para qualquer organização

O que proteger?

Que tipos de ameaças prevalecem: externas ou internas?

Como proteger, por quais métodos e meios?

Sistema de segurança da informação

O sistema de segurança da informação para uma empresa - pessoa jurídica inclui três grupos de conceitos básicos: integridade, disponibilidade e confidencialidade. Abaixo de cada um há conceitos com muitas características.

Debaixo integridade refere-se à resistência de bancos de dados, outras matrizes de informações à destruição acidental ou intencional, alterações não autorizadas. O conceito de integridade pode ser visto como:

estático, expressa na imutabilidade, autenticidade dos objetos de informação para aqueles objetos que foram criados de acordo com uma atribuição técnica específica e contêm a quantidade de informação necessária aos usuários para suas atividades principais, na configuração e sequência exigidas;
dinâmico, implicando na correta execução de ações ou transações complexas que não prejudiquem a segurança das informações.

Para controlar a integridade dinâmica, são utilizadas ferramentas técnicas especiais que analisam o fluxo de informações, por exemplo, informações financeiras, e identificam casos de roubo, duplicação, redirecionamento e reordenação de mensagens. A integridade como característica principal é exigida quando as decisões são tomadas com base nas informações recebidas ou disponíveis para realizar ações. A violação da ordem de comandos ou da sequência de ações pode causar grandes danos no caso de descrição de processos tecnológicos, códigos de programas e outras situações semelhantes.

Disponibilidadeé uma propriedade que permite que sujeitos autorizados acessem ou troquem dados de seu interesse. O requisito fundamental de legitimação ou autorização de sujeitos torna possível criar Niveis diferentes Acesso. A falha do sistema em fornecer informações torna-se um problema para qualquer organização ou grupo de usuários. Um exemplo é a indisponibilidade de sites de serviço público em caso de falha do sistema, o que priva muitos usuários da oportunidade de receber os serviços ou informações necessárias.

Confidencialidade significa a propriedade da informação a ser disponibilizada a esses usuários: assuntos e processos para os quais o acesso é inicialmente permitido. A maioria das empresas e organizações percebe a confidencialidade como um elemento-chave da segurança da informação, mas na prática é difícil implementá-la integralmente. Nem todos os dados sobre os canais de vazamento de informações existentes estão disponíveis para os autores dos conceitos de segurança da informação, e muitos meios técnicos de proteção, inclusive criptográficos, não podem ser adquiridos livremente, em alguns casos o giro é limitado.

Propriedades iguais de segurança da informação possuem valores diferentes para os usuários, daí as duas categorias extremas no desenvolvimento de conceitos de proteção de dados. Para empresas ou organizações envolvidas em segredos de Estado, a confidencialidade será um parâmetro fundamental, para serviços públicos ou instituições de ensino, a acessibilidade será o parâmetro mais importante.

Resumo de Segurança da Informação

Objetos de proteção em conceitos de SI

A diferença de sujeitos gera diferenças nos objetos de proteção. Principais grupos de objetos protegidos:

recursos de informação de todos os tipos (um recurso é um objeto material: HD, outras mídias, um documento com dados e detalhes que ajudem a identificá-lo e atribuí-lo a certo grupo assuntos);
os direitos dos cidadãos, organizações e do Estado de acesso à informação, a oportunidade de obtê-la no âmbito da lei; o acesso pode ser limitado apenas por atos normativos legais, a organização de quaisquer barreiras que violem os direitos humanos é inaceitável;
um sistema de criação, uso e distribuição de dados (sistemas e tecnologias, arquivos, bibliotecas, documentos normativos);
um sistema para a formação da consciência pública (mídia, recursos da Internet, instituições sociais, instituições educacionais).

Cada objeto envolve um sistema especial de medidas de proteção contra ameaças à segurança da informação e à ordem pública. Garantir a segurança da informação em cada caso deve ser baseado em uma abordagem sistemática que leve em consideração as especificidades do objeto.

Categorias e mídia

O sistema legal russo, a prática de aplicação da lei e as relações sociais estabelecidas classificam as informações de acordo com critérios de acessibilidade. Isso permite esclarecer os parâmetros essenciais necessários para garantir a segurança da informação:

informações cujo acesso é restrito com base em requisitos legais (segredo de estado, segredo comercial, dados pessoais);
informações em acesso livre;
informações publicamente disponíveis que são fornecidas sob certas condições: informações pagas ou dados para os quais o acesso é necessário, por exemplo, um bilhete de biblioteca;
perigosas, nocivas, falsas e outros tipos de informações, cuja circulação e disseminação são limitadas por exigências de leis ou normas corporativas.

As informações do primeiro grupo possuem dois modos de proteção. segredo de estado, de acordo com a lei, trata-se de informação protegida pelo Estado, cuja livre circulação pode prejudicar a segurança do país. Trata-se de dados no campo das forças armadas, política externa, inteligência, contra-inteligência e atividades econômicas do estado. O proprietário deste grupo de dados é diretamente o estado. Os órgãos autorizados a tomar medidas para proteger segredos de Estado são o Ministério da Defesa, o Serviço Federal de Segurança (FSB), o Serviço de Inteligência Estrangeira, o Serviço Federal de Controle Técnico e de Exportação (FSTEC).

Informação confidencial- um objeto de regulação mais multifacetado. A lista de informações que podem constituir informações confidenciais consta do Decreto Presidencial nº 188 "Sobre Aprovação da Lista de Informações Confidenciais". Isso são dados pessoais; sigilo da investigação e do processo judicial; segredo oficial; sigilo profissional (médico, notarial, advogado); segredo comercial; informações sobre invenções e modelos de utilidade; informações contidas nos arquivos pessoais dos condenados, bem como informações sobre a execução de atos judiciais.

Os dados pessoais existem em modo aberto e confidencial. A parte dos dados pessoais que é aberta e acessível a todos os usuários inclui o nome, sobrenome, patronímico. De acordo com a Lei Federal-152 "Sobre Dados Pessoais", os titulares de dados pessoais têm o direito de:

na autodeterminação informacional;
para acessar dados pessoais pessoais e fazer alterações neles;
bloquear dados pessoais e acesso a eles;
para apelar contra ações ilícitas de terceiros cometidas em relação a dados pessoais;
para indenização por danos.

O direito está consagrado nos regulamentos sobre órgãos estaduais, leis federais, licenças para trabalhar com dados pessoais emitidas por Roskomnadzor ou FSTEC. Empresas que trabalham profissionalmente com dados pessoais de uma ampla gama de pessoas, por exemplo, operadoras de telecomunicações, devem entrar no registro mantido pelo Roskomnadzor.

Um objeto separado na teoria e na prática da segurança da informação são os portadores de informação, cujo acesso é aberto e fechado. Ao desenvolver o conceito IS, os métodos de proteção são selecionados dependendo do tipo de mídia. Principais suportes de informação:

mídia impressa e eletrônica, redes sociais, outros recursos na Internet;
funcionários da organização que têm acesso a informações com base em suas amizades, vínculos familiares, profissionais;
meios de comunicação que transmitem ou armazenam informações: telefones, centrais telefônicas automáticas, outros equipamentos de telecomunicações;
documentos de todos os tipos: pessoais, oficiais, estaduais;
software como objeto de informação independente, principalmente se sua versão foi desenvolvida especificamente para determinada empresa;
mídia de armazenamento eletrônico que processa dados automaticamente.

Para fins de desenvolvimento de conceitos de segurança da informação, as ferramentas de segurança da informação são geralmente divididas em normativas (informais) e técnicas (formais).

Meios informais de proteção são documentos, regras, eventos, os formais são meios técnicos especiais e softwares. A distinção ajuda a distribuir as áreas de responsabilidade na criação de sistemas de segurança da informação: com a gestão geral da proteção, o pessoal administrativo implementa os métodos regulatórios e os especialistas de TI, respectivamente, os técnicos.

Os fundamentos da segurança da informação implicam a divisão de poderes não apenas no que diz respeito ao uso da informação, mas também no que diz respeito ao trabalho com sua proteção. Essa separação de poderes requer vários níveis de controle.

Remédios formais

Uma ampla gama de meios técnicos de proteção de segurança da informação inclui:

Meios físicos de proteção. São mecanismos mecânicos, elétricos, eletrônicos que operam independentemente dos sistemas de informação e criam barreiras ao acesso a eles. Fechaduras, inclusive eletrônicas, telas, persianas são projetadas para criar obstáculos para o contato de fatores desestabilizadores com os sistemas. O grupo é complementado por meio de sistemas de segurança, por exemplo, câmeras de vídeo, gravadores de vídeo, sensores que detectam movimento ou excesso do grau de radiação eletromagnética na área onde estão localizados os meios técnicos de obtenção de informações, dispositivos embarcados.

Proteção de hardware. Estes são dispositivos elétricos, eletrônicos, ópticos, laser e outros que são incorporados em sistemas de informação e telecomunicações. Antes de introduzir hardware em sistemas de informação, a compatibilidade deve ser verificada.

Programas- trata-se de programas simples e sistêmicos, complexos, projetados para resolver tarefas particulares e complexas relacionadas à provisão de segurança da informação. Um exemplo de soluções complexas são e: as primeiras servem para evitar vazamentos, reformatar informações e redirecionar os fluxos de informações, as segundas - fornecer proteção contra incidentes na área de segurança da informação. As ferramentas de software são exigentes quanto à potência dos dispositivos de hardware, e reservas adicionais devem ser fornecidas durante a instalação.

pode ser testado gratuitamente por 30 dias. Antes de instalar o sistema, os engenheiros da SearchInform realizarão uma auditoria técnica na empresa do cliente.

PARA meios específicos a segurança da informação inclui vários algoritmos criptográficos que permitem criptografar informações no disco e redirecionar por meio de canais de comunicação externos. A transformação da informação pode ocorrer com o auxílio de métodos de software e hardware que atuam em sistemas de informação corporativos.

Todos os meios que garantam a segurança da informação devem ser utilizados em conjunto, após uma avaliação preliminar do valor da informação e comparação com o custo dos recursos gastos na proteção. Portanto, as propostas de utilização dos fundos devem ser formuladas já na fase de desenvolvimento dos sistemas, e a aprovação deve ser feita no nível de gestão responsável pela aprovação dos orçamentos.

Para garantir a segurança, é necessário monitorar todos os desenvolvimentos modernos, ferramentas de proteção de software e hardware, ameaças e fazer alterações oportunas em seus próprios sistemas de proteção contra acesso não autorizado. Somente a adequação e a pronta resposta às ameaças ajudarão a alcançar alto nível sigilo na empresa.

A primeira versão foi lançada em 2018. Este programa exclusivo compila retratos psicológicos de funcionários e os distribui em grupos de risco. Essa abordagem para garantir a segurança da informação permite antecipar possíveis incidentes e agir com antecedência.

Remédios informais

Os remédios informais são agrupados em normativos, administrativos e morais e éticos. No primeiro nível de proteção estão as ferramentas regulatórias que regulam a segurança da informação como um processo nas atividades da organização.

Meios regulatórios

Na prática mundial, ao desenvolver ferramentas regulatórias, elas são guiadas por normas de segurança da informação, a principal delas é a ISO/IEC 27000. A norma foi criada por duas organizações:

ISO - International Commission for Standardization, que desenvolve e aprova a maioria dos métodos reconhecidos internacionalmente para certificação da qualidade dos processos de produção e gestão;
IEC - a Comissão Internacional de Energia, que introduziu seu entendimento de sistemas de segurança da informação, meios e métodos de sua provisão no padrão

A versão atual da ISO/IEC 27000-2016 oferece padrões prontos e metodologias comprovadas necessárias para a implementação da segurança da informação. Segundo os autores dos métodos, a base da segurança da informação está na implementação sistemática e consistente de todas as etapas desde o desenvolvimento até o pós-controle.

Para obter um certificado que ateste o cumprimento das normas de segurança da informação, é necessário implementar integralmente todas as práticas recomendadas. Se não houver necessidade de obter um certificado, é permitido tomar qualquer uma das mais versões anteriores padrão, começando com ISO / IEC 27000-2002, ou GOSTs russos, que são de natureza consultiva.

Com base nos resultados do estudo da norma, estão sendo desenvolvidos dois documentos relacionados à segurança da informação. O principal, mas menos formal, é o conceito de segurança da informação empresarial, que determina as medidas e métodos de implementação de um sistema de segurança da informação para os sistemas de informação de uma organização. O segundo documento que todos os colaboradores da empresa são obrigados a cumprir é o regulamento sobre segurança da informação, aprovado ao nível do conselho de administração ou do órgão executivo.

Além do cargo no nível da empresa, devem ser desenvolvidas listas de informações que constituam segredo comercial, anexos a contratos de trabalho, fixação de responsabilidade pela divulgação de dados confidenciais, outras normas e métodos. As normas e regulamentos internos devem conter mecanismos e responsabilidades de implementação. Na maioria das vezes, as medidas são de natureza disciplinar, e o infrator deve estar preparado para o fato de que a violação do regime de segredos comerciais será seguida de sanções significativas, até e incluindo a demissão.

Medidas organizacionais e administrativas

Como parte de atividades administrativas sobre a proteção da segurança da informação para os funcionários dos serviços de segurança abre espaço para a criatividade. São soluções arquitetônicas e de planejamento que permitem proteger salas de reunião e escritórios executivos de escutas e do estabelecimento de vários níveis de acesso à informação. Medidas organizacionais importantes serão a certificação das atividades da empresa de acordo com as normas ISO/IEC 27000, certificação de sistemas individuais de hardware e software, certificação de sujeitos e objetos para conformidade com os requisitos de segurança necessários e obtenção de licenças necessárias para trabalhar com matrizes de informações protegidas .

Do ponto de vista da regulação das atividades de pessoal, será importante desenhar um sistema de solicitações de acesso à Internet, correio eletrônico externo e outros recursos. Um elemento separado será o recebimento de uma assinatura digital eletrônica para aumentar a segurança das informações financeiras e outras que são transmitidas às agências governamentais por meio de canais de e-mail.

Medidas morais e éticas

Medidas morais e éticas determinam a atitude pessoal de uma pessoa para informação confidencial ou informações de circulação restrita. Aumentar o nível de conhecimento dos funcionários sobre o impacto das ameaças nas atividades da empresa afeta o grau de consciência e responsabilidade dos funcionários. Para combater as violações do regime de informação, incluindo, por exemplo, a transmissão de senhas, manuseio descuidado de mídia, divulgação de dados confidenciais em conversas privadas, é necessário enfatizar a consciência pessoal do funcionário. Será útil estabelecer indicadores de desempenho para o pessoal, que dependerão da atitude em relação sistema corporativo IB.

Política de Segurança da Informação.

1. Disposições gerais

Esta Política segurança da informação ( Avançar - Política ) define um sistema de visões sobre o problema de garantir a segurança da informação e é uma apresentação sistemática das metas e objetivos, bem como dos aspectos organizacionais, tecnológicos e procedimentais para garantir a segurança da informação de objetos de infraestrutura de informação, incluindo um conjunto de centros de informação , bancos de dados e sistemas de comunicação da organização. Esta Política foi desenvolvida levando em consideração os requisitos da legislação atual da Federação Russa e as perspectivas imediatas para o desenvolvimento de instalações de infraestrutura de informação, bem como as características e capacidades de métodos organizacionais e técnicos modernos e proteção de informações de hardware e software.

As principais disposições e requisitos da Política se aplicam a todas as divisões estruturais da organização.

A política é uma base metodológica para a formação e implementação de uma política unificada no campo da garantia da segurança da informação dos objetos da infraestrutura da informação, tomando decisões de gestão acordadas e desenvolvendo medidas práticas destinadas a garantir a segurança da informação, coordenando as atividades das divisões estruturais da a organização ao trabalhar na criação, desenvolvimento e operação de objetos de infra-estrutura de informação infra-estrutura em conformidade com os requisitos de segurança da informação.

A política não regulamenta as questões de organização da proteção das instalações e garantia da segurança e integridade física dos componentes da infraestrutura de informação, proteção contra desastres naturais e falhas no sistema de fornecimento de energia, mas envolve a construção de um sistema de segurança da informação nos mesmos fundamentos conceituais do sistema de segurança da organização como um todo.

A implementação da política é assegurada pelas diretrizes, regulamentos, procedimentos, instruções, diretrizes e sistema de avaliação de segurança da informação pertinentes na organização.

Os seguintes termos e definições são usados na Política:

Sistema automato ( CA) — um sistema composto por pessoal e um conjunto de meios para automatizar suas atividades, implementando tecnologia da informação para o desempenho das funções estabelecidas.

Infraestrutura de informações— um sistema de estruturas organizacionais que assegurem o funcionamento e o desenvolvimento espaço de informação e meios de interação de informações. A infra-estrutura de informação inclui um conjunto de centros de informação, bancos de dados e conhecimento, sistemas de comunicação e oferece aos consumidores acesso a recursos de informação.

Recursos informativos ( RI) - estes são documentos separados e conjuntos separados de documentos, documentos e conjuntos de documentos em sistemas de informação ( bibliotecas, arquivos, coleções, bases de dados e outros sistemas de informação).

Sistema de informação (IP) - sistema de processamento de informações e recursos organizacionais relacionados ( humanos, técnicos, financeiros, etc.) que fornecem e divulgam informações.

Segurança - estado de proteção de interesses ( metas) organizações ameaçadas.

Segurança da Informação ( É) — segurança associada a ameaças na esfera da informação. A segurança é alcançada fornecendo um conjunto de propriedades de SI - disponibilidade, integridade, confidencialidade dos ativos de informação. A prioridade dos imóveis IS é determinada pelo valor desses ativos para juros ( metas) organizações.

Disponibilidade de ativos de informação − propriedade da segurança da informação de uma organização, que consiste no fato de que os ativos de informação são fornecidos a um usuário autorizado, na forma e no local solicitados pelo usuário, e no momento em que ele precisar deles.

Integridade dos Ativos de Informação - a propriedade da segurança da informação de uma organização de permanecer inalterada ou corrigir alterações detectadas em seus ativos de informação.

Confidencialidade dos Ativos de Informação − propriedade do SI da organização, que consiste no fato de que o processamento, armazenamento e transferência dos ativos de informação são realizados de forma que os ativos de informação estejam disponíveis apenas para usuários autorizados, objetos do sistema ou processos.

Sistema de segurança da informação ( NIB) — um conjunto de medidas de proteção, equipamentos de proteção e processos para sua operação, incluindo recursos e administrativos ( organizacional) disposição.

Acesso não autorizado- acesso à informação em violação dos poderes oficiais do trabalhador, acesso a informação vedada ao acesso público por pessoas que não tenham permissão para aceder a esta informação ou obtenção de acesso a informação por pessoa que tenha o direito de aceder a esta informação de forma montante superior ao necessário para o exercício das funções oficiais.

2. Requisitos gerais para garantir a segurança da informação

requisitos de segurança da informação Avançar -É ) determinam o conteúdo e os objetivos das atividades da organização no âmbito dos processos de gestão da segurança da informação.

Esses requisitos são formulados para as seguintes áreas:

atribuição e distribuição de funções e confiança no pessoal;
estágios do ciclo de vida de objetos de infraestrutura de informação;
proteção contra acesso não autorizado ( Avançar - NSD ), controle de acesso e registro em sistemas automatizados, em equipamentos de telecomunicações e centrais telefónicas automáticas, etc.;
proteção antivírus;
uso de recursos da Internet;
uso de meios de proteção criptográfica da informação;
proteção de dados pessoais.

3. Objetos a serem protegidos

Os principais objetos a serem protegidos são:

recursos informativos, apresentados na forma de documentos e matrizes de informações, independentemente da forma e tipo de apresentação, incluindo, entre outras coisas, informações confidenciais e abertas;
sistema de formação, distribuição e uso de recursos de informação, bibliotecas, arquivos, bancos de dados e bancos de dados, tecnologia da informação, regulamentos e procedimentos para coleta, processamento, armazenamento e transmissão de informações, pessoal técnico e de manutenção;
infraestrutura de informação, incluindo sistemas de processamento e análise de informações, hardware e software para seu processamento, transmissão e exibição, incluindo canais de troca de informações e telecomunicações, sistemas e meios de segurança da informação, instalações e instalações em que os componentes da infraestrutura de informação estão localizados.

3.1. Características do sistema automatizado

O AS faz circular informações de diferentes categorias. As informações protegidas podem ser compartilhadas entre diferentes usuários de diferentes sub-redes de uma única rede corporativa.

Vários subsistemas AS fornecem interação com estatal e comercial, russo e estrangeiro) por meio de canais de comunicação dial-up e dedicados usando meios especiais de transmissão de informações.

O complexo de meios técnicos da UA inclui ferramentas de processamento de dados ( estações de trabalho, servidores de banco de dados, servidores de correio etc.), meio de troca de dados em redes de computadores locais com capacidade de acesso a redes globais ( cabeamento, pontes, gateways, modems, etc.), bem como instalações de armazenamento ( Incluindo arquivamento) dados.

As principais características do funcionamento do AS incluem:

a necessidade de integrar em um único sistema um grande número diversos meios técnicos de processamento e transmissão de informações;
uma grande variedade de tarefas a serem resolvidas e tipos de dados processados;
consolidação em bancos de dados únicos de informações para diversas finalidades, níveis de pertencimento e confidencialidade;
disponibilidade de canais para conexão com redes externas;
continuidade da operação;
a presença de subsistemas com diferentes requisitos de níveis de segurança, fisicamente unidos em uma única rede;
variedade de categorias de usuários e pessoal de serviço.

Em termos gerais, um único AS é um conjunto de redes de computadores locais de departamentos, interligados por meio de telecomunicações. Cada rede local une vários subsistemas automatizados interconectados e interativos ( áreas tecnológicas) que garantem a solução de problemas por divisões estruturais individuais da organização.

Os objetos de informatização incluem:

equipamentos tecnológicos ( equipamento informático, equipamento de rede e cabo);
recursos informativos;
Programas ( sistemas operacionais, sistemas de gerenciamento de banco de dados, sistema geral e software aplicativo);
sistemas automatizados de comunicação e transmissão de dados (instalações de telecomunicações);
canais de conexão;
instalações de serviço.

3.2. Tipos de ativos de informações organizacionais a serem protegidos

Nos subsistemas AS da organização circulam informações de vários níveis de confidencialidade, contendo informações de distribuição limitada ( dados oficiais, comerciais, pessoais) e informações públicas.

O fluxo de documentos AS contém:

ordens de pagamento e documentos financeiros;
relatórios ( financeiro, analítico, etc.);
informações sobre contas pessoais;
dados pessoais;
outras informações restritas.

Todas as informações que circulam no AS e contidas nos seguintes tipos de ativos de informação estão sujeitas a proteção:

informação que constitua um segredo comercial e oficial, cujo acesso é limitado pela organização como proprietária da informação, de acordo com as disposições da Lei Federal " Sobre informação, informatização e proteção da informação » Direitos e Lei Federal « Sobre o segredo comercial »;
dados pessoais, cujo acesso é restrito de acordo com a Lei Federal " Sobre dados pessoais »;
informação aberta, no sentido de garantir a integridade e disponibilidade da informação.

3.3. Categorias de usuários do sistema Automatizado

A organização tem um grande número de categorias de usuários e pessoal de manutenção que devem ter poderes diferentes para acessar os recursos de informação da UA:

usuários comuns ( usuários finais, funcionários de unidades organizacionais);
administradores de servidor ( servidores de arquivos, servidores de aplicativos, servidores de banco de dados), redes locais de computadores e sistemas aplicados;
programadores de sistema ( responsável pela manutenção de software comum) em servidores e estações de trabalho de usuários;
desenvolvedores de software de aplicativos;
especialistas em manutenção de meios técnicos de informática;
administradores de segurança da informação, etc.

3.4. Vulnerabilidade dos principais componentes do Sistema Automatizado

Os componentes AS mais vulneráveis são as estações de trabalho de rede - estações de trabalho ( Avançar - posto de trabalho ) trabalhadores. Tentativas de acesso não autorizado a informações ou tentativas de ações não autorizadas podem ser feitas a partir do posto de trabalho dos funcionários ( involuntário e intencional) v rede de computadores. Violações da configuração do hardware e software das estações de trabalho e interferências ilícitas nos processos de seu funcionamento podem levar ao bloqueio de informações, à impossibilidade de resolver tarefas importantes em tempo hábil e à falha de estações de trabalho e subsistemas individuais.

Elementos de rede, como servidores de arquivos dedicados, servidores de banco de dados e servidores de aplicativos, precisam de proteção especial. As deficiências dos protocolos de troca e dos meios de controle de acesso aos recursos do servidor podem permitir o acesso não autorizado a informações protegidas e influenciar a operação de vários subsistemas. Ao mesmo tempo, as tentativas podem ser feitas remotamente ( de estações de rede) e direto ( do console do servidor) impacto no funcionamento dos servidores e suas proteções.

Pontes, gateways, hubs, roteadores, switches e outros dispositivos de rede, canais e comunicações também precisam ser protegidos. Eles podem ser usados por invasores para reestruturar e interromper a operação da rede, interceptar informações transmitidas, analisar tráfego e implementar outros métodos de interferência nos processos de troca de dados.

4. Princípios básicos para garantir a segurança da informação

4.1. Princípios gerais de operação segura

Tempestividade da detecção do problema. A organização deve detectar prontamente problemas que possam afetar seus objetivos de negócios.
Previsibilidade de desenvolvimento de problemas. A organização deve identificar a causalidade possíveis problemas e construir nesta base uma previsão precisa do seu desenvolvimento.
Avaliar o impacto dos problemas nos objetivos de negócios. A organização deve avaliar adequadamente o impacto dos problemas identificados.
Adequação das medidas de proteção. A organização deve escolher medidas de proteção adequadas aos modelos de ameaças e atacantes, levando em consideração os custos de implementação de tais medidas e a quantidade de possíveis perdas decorrentes da execução das ameaças.
Eficácia das medidas de proteção. A organização deve implementar efetivamente as medidas de proteção tomadas.
Usando a experiência na tomada e implementação de decisões. A organização deve acumular, generalizar e usar tanto sua própria experiência quanto a experiência de outras organizações em todos os níveis de tomada de decisão e sua implementação.
Continuidade dos princípios de operação segura. A organização deve assegurar a continuidade da implementação dos princípios de operação segura.
Controlabilidade das medidas de proteção. A organização deve aplicar apenas as salvaguardas cuja operação correta possa ser verificada, e a organização deve avaliar regularmente a adequação das salvaguardas e a eficácia de sua implementação, levando em consideração o impacto das salvaguardas nos objetivos de negócios da organização.

4.2. Princípios especiais para garantir a segurança da informação

A implementação de princípios especiais para garantir a segurança da informação visa aumentar o nível de maturidade dos processos de gestão da segurança da informação na organização.
Definição de objetivos. Os objetivos funcionais e de segurança da informação da organização devem ser explicitamente definidos em um documento interno. A incerteza leva a “ imprecisão” estrutura organizacional, funções de pessoal, políticas de segurança da informação e a incapacidade de avaliar a adequação das medidas de proteção tomadas.
Conhecendo seus clientes e funcionários. A organização deve ter informações sobre seus clientes, selecionar cuidadosamente a equipe ( trabalhadores), desenvolver e manter a ética corporativa, o que cria um ambiente de confiança favorável para as atividades da organização de gestão de ativos.
Personificação e divisão adequada de papéis e responsabilidades. A responsabilidade dos dirigentes da organização pelas decisões relacionadas ao seu patrimônio deve ser personificada e executada principalmente na forma de garantia. Deve ser adequado ao grau de influência nos objetivos da organização, fixados em políticas, monitorados e aprimorados.
Adequação dos papéis às funções e procedimentos e sua comparabilidade com os critérios e sistema de avaliação. Os papéis devem refletir adequadamente as funções desempenhadas e os procedimentos para sua implementação adotados na organização. Ao atribuir funções inter-relacionadas, a sequência necessária de sua execução deve ser levada em consideração. A função deve ser consistente com os critérios de avaliação da eficácia de sua implementação. O conteúdo principal e a qualidade da função desempenhada são, na verdade, determinados pelo sistema de avaliação que lhe é aplicado.
Disponibilidade de serviços e instalações. A organização deve garantir a disponibilidade de serviços e serviços para seus clientes e contrapartes no prazo determinado pelos acordos relevantes ( acordos) e/ou outros documentos.
Observabilidade e avaliabilidade da provisão de SI. Quaisquer medidas de proteção propostas devem ser projetadas de modo que o resultado de sua aplicação seja claramente observável ( transparente) e pode ser avaliado por um departamento da organização que tenha a autoridade apropriada.

5. Metas e objetivos de fornecer informações de segurança

5.1. Assuntos de Relações de Informação no Sistema Automatizado

Os assuntos das relações jurídicas ao usar AS e garantir a segurança das informações são:

Organização como proprietária dos recursos de informação;
subdivisões da organização que asseguram o funcionamento da CN;
colaboradores das divisões estruturais da organização, como utilizadores e fornecedores de informação no AS de acordo com as funções que lhes são atribuídas;
pessoas jurídicas e pessoas físicas, cujas informações são acumuladas, armazenadas e processadas no AS;
outras pessoas colectivas e pessoas singulares envolvidas no processo de criação e funcionamento do AS ( desenvolvedores de componentes do sistema, organizações envolvidas na prestação de vários serviços na área de tecnologias da informação e etc).

Os sujeitos listados de relações de informação estão interessados em fornecer:

confidencialidade de determinada parte da informação;
confiabilidade ( completude, precisão, adequação, integridade) em formação;
proteção contra a imposição de falsas ( falso, distorcido) em formação;
acesso oportuno às informações necessárias;
delimitação de responsabilidade por violações de direitos legais ( interesses) outros sujeitos das relações de informação e regras estabelecidas para o tratamento da informação;
a possibilidade de monitoramento e controle contínuos do processamento e transmissão de informações;
proteção de parte da informação de sua reprodução ilegal ( proteção de direitos autorais, direitos do proprietário da informação, etc.).

5.2. Finalidade da Segurança da Informação

O principal objetivo de garantir a segurança da informação é proteger os sujeitos das relações de informação de possíveis danos materiais, morais ou outros a eles por meio de interferência não autorizada acidental ou deliberada no funcionamento do AS ou acesso não autorizado às informações que nele circulam e seus uso ilegal.

Este objetivo é alcançado garantindo e mantendo constantemente as seguintes propriedades da informação e um sistema automatizado para o seu processamento:

disponibilidade das informações processadas para usuários registrados;
confidencialidade de determinada parte das informações armazenadas, processadas e transmitidas por meio de canais de comunicação;
integridade e autenticidade das informações armazenadas, processadas e transmitidas por meio de canais de comunicação.

5.3. Tarefas de Segurança da Informação

Para atingir o objetivo principal de garantir a segurança da informação, o sistema de segurança da informação da usina nuclear deve fornecer uma solução eficaz para as seguintes tarefas:

proteção contra interferências no processo de funcionamento da UA por pessoas não autorizadas;
diferenciação de acesso de usuários cadastrados ao hardware, software e recursos de informação do AS, ou seja, proteção contra acesso não autorizado;
registro de ações do usuário ao usar recursos AS protegidos em logs do sistema e monitoramento periódico da correção das ações do usuário do sistema, analisando o conteúdo desses logs por especialistas dos departamentos de segurança;
proteção contra modificação não autorizada e controle de integridade ( imutabilidade) ambiente de execução do programa e sua recuperação em caso de violação;
proteção contra modificação não autorizada e controle da integridade do software usado na UA, bem como proteção do sistema contra a introdução de programas não autorizados, incluindo vírus de computador;
proteção de informações contra vazamentos por meio de canais técnicos durante seu processamento, armazenamento e transmissão por meio de canais de comunicação;
proteção de informações armazenadas, processadas e transmitidas por meio de canais de comunicação contra divulgação ou distorção não autorizada;
garantir a autenticação dos usuários que participam da troca de informações;
garantir a sobrevivência dos meios criptográficos de proteção das informações em caso de comprometimento de uma parte do sistema de chaves;
identificação oportuna de fontes de ameaças à segurança da informação, causas e condições que contribuam para causar danos aos sujeitos interessados nas relações de informação, criação de mecanismo de pronta resposta a ameaças à segurança da informação e tendências negativas;
criar condições para minimizar e localizar danos causados por atos ilícitos de pessoas físicas e jurídicas, mitigando o impacto negativo e eliminando as consequências das falhas de segurança da informação.

5.4. Formas de resolver os problemas de garantia da segurança da informação

A solução para os problemas de garantia da segurança da informação é alcançada:

consideração estrita de todos os recursos do sistema a serem protegidos ( informações, tarefas, canais de comunicação, servidores, estações de trabalho);
regulamentação dos processos de processamento de informações e ações dos funcionários das divisões estruturais da organização, bem como ações do pessoal envolvido na manutenção e modificação de software e hardware da UA, com base em documentos organizacionais e administrativos sobre segurança da informação;
completude, real viabilidade e consistência dos requisitos de documentos organizacionais e administrativos sobre as questões de segurança da informação;
nomeação e treinamento de funcionários responsáveis pela organização e implementação de medidas práticas para garantir a segurança da informação;
capacitar cada funcionário com o mínimo necessário para o desempenho de suas funções funcionais da autoridade para acessar os recursos da UA;
claro conhecimento e estrita observância por todos os funcionários que utilizam e mantêm o hardware e software AS dos requisitos dos documentos organizacionais e administrativos sobre segurança da informação;
responsabilidade pessoal pelos seus atos de cada colaborador que participe, no âmbito das suas funções funcionais, nos processos de tratamento automatizado de informação e tenha acesso aos recursos AS;
implementação de processos tecnológicos de processamento de informações usando complexos de medidas organizacionais e técnicas para proteger software, hardware e dados;
tomar medidas efetivas para garantir a integridade física dos meios técnicos e a manutenção contínua do nível de proteção exigido dos componentes da CN;
aplicação de técnicas ( software e hardware) meios de proteção dos recursos do sistema e suporte administrativo contínuo para seu uso;
delimitação dos fluxos de informação e proibição de transmissão de informação de distribuição limitada por canais de comunicação desprotegidos;
controle efetivo sobre o cumprimento pelos funcionários dos requisitos de segurança da informação;
monitoramento constante recursos de rede, identificação de vulnerabilidades, detecção atempada e neutralização de ameaças externas e internas à segurança de uma rede informática;
proteção legal dos interesses da organização contra ações ilegais no campo da segurança da informação.
a realização de uma análise contínua da eficácia e suficiência das medidas tomadas e dos instrumentos de proteção da informação utilizados, o desenvolvimento e implementação de propostas de melhoria do sistema de proteção da informação no AS.

6. Ameaças à segurança da informação

6.1. Ameaças à segurança da informação e suas fontes

As ameaças mais perigosas à segurança das informações processadas no AS são:

violação de privacidade ( divulgação, vazamento) informações que constituam segredo oficial ou comercial, incluindo dados pessoais;
disfunção ( desorganização do trabalho) AS, bloqueio de informações, violação de processos tecnológicos, não resolução de problemas em tempo hábil;
violação de integridade ( distorção, substituição, destruição) informações, software e outros recursos AS.

As principais fontes de ameaças à segurança das informações do AS são:

eventos naturais e causados pelo homem desfavoráveis;
terroristas, elementos criminosos;
intrusos de computador realizando influências destrutivas propositais, incluindo o uso de Vírus informáticos e outros tipos de códigos maliciosos e ataques;
fornecedores de software e hardware, consumíveis, serviços, etc.;
empreiteiros envolvidos na instalação, comissionamento de equipamentos e seu reparo;
descumprimento das exigências das autoridades supervisoras e reguladoras, legislação vigente;
falhas, falhas, destruição/dano de software e hardware;
colaboradores que sejam participantes legais nos processos no AS e actuem fora do âmbito das competências atribuídas;
colaboradores que sejam participantes legais nos processos no AS e que atuem no âmbito das competências atribuídas.

6.2. Ações não intencionais que levam a uma violação da segurança da informação e medidas para evitá-las

Os funcionários da organização que têm acesso direto aos processos de processamento de informações no AS são uma fonte potencial de ações aleatórias não intencionais que podem levar a uma violação da segurança da informação.

Principais ações não intencionais que levam à violação da segurança da informação (ações cometidas por pessoas acidentalmente, por ignorância, desatenção ou negligência, por curiosidade, mas sem intenção maliciosa) e as medidas para prevenir tais ações e minimizar os danos causados por elas são dadas em tabela 1.

tabela 1

Principais ações que levam à violação da segurança da informação
Ações de funcionários que levam à falha parcial ou total do sistema ou interrupção de hardware ou software; desligar equipamentos ou alterar os modos de operação de dispositivos e programas; destruição dos recursos de informação do sistema ( danos não intencionais ao equipamento, exclusão, distorção de programas ou arquivos com informações importantes, incluindo os do sistema, danos aos canais de comunicação, danos não intencionais à mídia de armazenamento, etc.)	Arranjos organizacionais ( ). O uso de meios físicos para evitar o cometimento não intencional de uma violação. Aplicação de técnicas ( hardware e software) meios de restringir o acesso aos recursos. Reserva de recursos críticos.
Lançamento não autorizado de programas que, se usados de forma incompetente, podem causar perda de desempenho do sistema ( congela ou volta) ou fazer mudanças irreversíveis no sistema ( formatação ou reestruturação de mídia de armazenamento, exclusão de dados, etc.)	Arranjos organizacionais ( remoção de todos os programas potencialmente perigosos da estação de trabalho). Aplicação de técnicas ( hardware e software) meio de delimitar o acesso a programas em estações de trabalho.
Introdução e uso não autorizado de programas não contabilizados ( jogos, treinamentos, tecnológicos e outros que não sejam necessários para que os funcionários desempenhem suas funções oficiais) com posterior dispêndio irracional de recursos ( tempo do processador, RAM, memória em mídia externa, etc.)	Arranjos organizacionais ( introdução de proibições). Aplicação de técnicas ( hardware e software) significa impedir a introdução e o uso não autorizados de programas não gravados.
Infectar inadvertidamente um computador com vírus	Arranjos organizacionais ( regulação de ações, introdução de proibições). Medidas tecnológicas ( o uso de programas especiais para detectar e destruir vírus). O uso de hardware e software que previnem a infecção por vírus de computador.
Divulgação, transferência ou perda de atributos de controle de acesso ( senhas, chaves de criptografia ou ES, cartões de identificação, passes, etc.)	Arranjos organizacionais ( regulação de ações, introdução de proibições, aumento da responsabilidade). O uso de meios físicos para garantir a segurança dos detalhes especificados.
Ignorar restrições organizacionais ( regras estabelecidas) ao trabalhar no sistema	Arranjos organizacionais ( ). Uso de meios físicos e técnicos adicionais de proteção.
Uso incompetente, ajuste ou desativação ilegal de equipamentos de proteção por pessoal de segurança	Arranjos organizacionais ( treinamento de pessoal, maior responsabilidade e controle).
Inserindo dados errados	Arranjos organizacionais ( maior responsabilidade e controle). Medidas tecnológicas para controlar erros dos operadores de entrada de dados.

6.3. Ações deliberadas para violar a segurança da informação e medidas para evitá-las

Principais atos intencionais ( para fins egoístas, sob pressão, por desejo de vingança, etc.), levando a uma violação da segurança da informação da UA, e as medidas para preveni-los e reduzir os possíveis danos causados são dadas em mesa 2.

mesa 2

As principais ações intencionais que levam à violação de segurança da informação	Medidas para prevenir ameaças e minimizar danos
Destruição física ou incapacitação de todos ou alguns dos componentes mais importantes de um sistema automatizado ( dispositivos, portadores de informações importantes do sistema, pessoal, etc.), desligamento ou paralisação de subsistemas que garantem o funcionamento de sistemas computacionais ( fonte de alimentação, linhas de comunicação, etc.)	Arranjos organizacionais ( regulação de ações, introdução de proibições). O uso de meios físicos para evitar o cometimento intencional de uma violação. Reserva de recursos críticos.
A introdução de agentes no número de pessoal do sistema ( incluindo o grupo administrativo responsável pela segurança), recrutamento ( por suborno, chantagem, ameaças, etc.) usuários que têm certas permissões para acessar recursos protegidos	Arranjos organizacionais ( seleção, colocação e trabalho com pessoal, fortalecendo o controle e a responsabilidade). Registro automático de ações de pessoal.
Roubo de mídia de armazenamento ( impressões, discos magnéticos, fitas, dispositivos de armazenamento e PCs inteiros), roubo de resíduos industriais ( impressos, registros, mídia descartada, etc.)	Arranjos organizacionais ( ).
Cópia não autorizada de mídia de armazenamento, leitura de informações residuais da RAM e dispositivos de armazenamento externos	Arranjos organizacionais ( organização de armazenamento e uso de mídia com informações protegidas). O uso de meios técnicos de restrição de acesso a recursos protegidos e registro automático de recebimento de cópias impressas de documentos.
Obtenção ilegal de senhas e outros detalhes de controle de acesso ( disfarçado, usando a negligência dos usuários, por seleção, por imitação da interface do sistema com guias de software, etc.) seguido de disfarce como usuário registrado.	Arranjos organizacionais ( regulação de ações, introdução de proibições, trabalho com pessoal). O uso de meios técnicos que impeçam a introdução de programas para interceptar senhas, chaves e outros detalhes.
Uso não autorizado de estações de trabalho de usuários com características físicas únicas, como o número de uma estação de trabalho na rede, endereço físico, endereço no sistema de comunicação, unidade de codificação de hardware, etc.	Arranjos organizacionais ( regulamentação rigorosa do acesso às instalações e admissão ao trabalho nesses postos de trabalho). O uso de meios físicos e técnicos de controle de acesso.
Modificação de software não autorizada - a introdução de "marcadores" e "vírus" de software ( Cavalos de Tróia e bugs), ou seja, as seções de programas que não são necessárias para a implementação das funções declaradas, mas permitem superar o sistema de proteção, acessar recursos do sistema de forma oculta e ilegal para registrar e transmitir informações protegidas ou interromper o funcionamento do sistema	Arranjos organizacionais ( regulamentação rigorosa do acesso ao trabalho). O uso de meios físicos e técnicos de controle de acesso e prevenção de modificação não autorizada da configuração de hardware e software da estação de trabalho. Aplicação de ferramentas de controle de integridade de software.
Interceptação de dados transmitidos pelos canais de comunicação, sua análise para obter informações confidenciais e descobrir protocolos de troca, regras de entrada na rede e autorização do usuário, com tentativas posteriores de imitá-los para penetrar no sistema	Proteção física dos canais de comunicação. Aplicação de meios de proteção criptográfica das informações transmitidas.
Interferência no funcionamento do sistema de redes públicas para fins de modificação não autorizada de dados, acesso a informações confidenciais, interrupção da operação de subsistemas, etc.	Arranjos organizacionais ( regulação de conexão e trabalho em redes públicas). O uso de meios técnicos especiais de proteção ( firewalls, controles de segurança e detecção de ataques a recursos do sistema, etc.).

6.4. Vazamento de informações através de canais técnicos

Durante a operação dos meios técnicos da NPP, são possíveis os seguintes canais de vazamento ou violação da integridade das informações, violação do desempenho dos meios técnicos:

radiação eletromagnética espúria de um sinal informativo de meios técnicos e linhas de transmissão de informações;
captação de um sinal informativo processado por meio de equipamentos de computação eletrônica em fios e linhas que extrapolam a área controlada dos escritórios, incl. nos circuitos de aterramento e alimentação;
vários dispositivos eletrônicos interceptação de informações ( Incluindo "favoritos") ligados a canais de comunicação ou meios técnicos de tratamento de informação;
visualização de informações de telas de exibição e outros meios de exibição usando meios ópticos;
impacto no hardware ou software para violar a integridade ( destruição, distorção) informações, operacionalidade de meios técnicos, meios de proteção de informações e pontualidade da troca de informações, inclusive eletromagnéticas, por meio de ferramentas eletrônicas e de software especialmente implementadas ( "favoritos").

Levando em consideração as especificidades do processamento e garantindo a segurança das informações, a ameaça de vazamento de informações confidenciais ( incluindo dados pessoais) por meio de canais técnicos são irrelevantes para a organização.

6.5. Modelo informal de um provável intruso

Um infrator é uma pessoa que tentou realizar operações proibidas ( açao) por engano, ignorância ou conscientemente com intenção maliciosa ( por interesses egoístas) ou sem ele ( por uma questão de jogo ou prazer, para fins de auto-afirmação, etc.) e usando várias possibilidades, métodos e meios para isso.

O sistema de proteção NPP deve ser construído com base nas suposições sobre os seguintes tipos possíveis de intrusos no sistema ( tendo em conta a categoria de pessoas, motivação, qualificações, disponibilidade de meios especiais, etc.):

« Usuário inexperiente (desatento)"- um funcionário que pode tentar realizar operações proibidas, acessar recursos protegidos do AS além de sua autoridade, inserir dados incorretos etc. ações por engano, incompetência ou negligência sem intenção maliciosa e usando apenas regular ( disponível para ele) hardware e software.
« amador"- um funcionário tentando superar o sistema de proteção sem objetivos egoístas e mal-intencionados, para autoafirmação ou de" interesse esportivo". Para superar o sistema de proteção e cometer ações proibidas, ele pode usar vários métodos obter permissões adicionais para acessar recursos ( nomes, senhas, etc. outros usuários), deficiências na construção do sistema de proteção e pessoal disponível ( instalado na estação de trabalho) programas ( ações não autorizadas, excedendo sua autoridade para usar fundos autorizados). Além disso, ele pode tentar usar ferramentas não padronizadas adicionais e software tecnológico ( depuradores, utilitários), programas desenvolvidos de forma independente ou meios técnicos adicionais padrão.
« Golpista"- um funcionário que pode tentar realizar operações tecnológicas ilegais, inserir dados falsos e ações semelhantes para ganho pessoal, sob coação ou intenção maliciosa, mas usando apenas regular ( instalado na estação de trabalho e disponível para ele) hardware e software em seu próprio nome ou em nome de outro funcionário ( saber seu nome e senha, usar sua curta ausência do local de trabalho, etc.).
« Intruso externo (intruso)"- um estranho ou ex-funcionário agindo propositalmente por interesses egoístas, por vingança ou por curiosidade, possivelmente em conluio com outros. Ele pode usar toda a gama de violações de segurança da informação, métodos e meios de hackear sistemas de segurança típicos de redes públicas ( em particular redes baseadas em IP), incluindo a implementação remota de marcadores de software e o uso de programas instrumentais e tecnológicos especiais, usando as deficiências existentes nos protocolos de troca e no sistema de proteção dos nós da rede AS da organização.
« Intruso interno» - um funcionário cadastrado como usuário do sistema, agindo propositalmente por interesse egoísta ou vingança, possivelmente em conluio com pessoas que não são funcionários da organização. Ele pode usar todo o conjunto de métodos e meios de hackear o sistema de segurança, incluindo métodos secretos para obter detalhes de acesso, meios passivos (meios técnicos de interceptação sem modificar componentes do sistema), métodos e meios de influência ativa ( modificação de meios técnicos, conexão a canais de transmissão de dados, introdução de abas de software e uso de programas instrumentais e tecnológicos especiais), bem como combinações de impactos tanto de dentro quanto de redes públicas.

Um insider pode ser uma pessoa das seguintes categorias de pessoal:

usuários finais AS registrados ( funcionários de departamentos e filiais);
trabalhadores não autorizados a trabalhar com a UA;
pessoal que atende às instalações técnicas da CN ( engenheiros, técnicos);
funcionários dos departamentos de desenvolvimento e manutenção de software ( programadores de aplicativos e sistemas);
pessoal técnico ao serviço dos edifícios e instalações da organização ( faxineiros, eletricistas, encanadores e outros trabalhadores que tenham acesso a prédios e instalações onde os componentes da UA estão localizados);
líderes em vários níveis.

trabalhadores demitidos;
representantes de organizações interagindo em questões de garantia da vida da organização ( energia, água, fornecimento de calor, etc.);
representantes de empresas fornecedoras de equipamentos, software, serviços, etc.;
membros de organizações criminosas e estruturas comerciais concorrentes ou pessoas agindo sob suas instruções;
pessoas que acidentalmente ou intencionalmente penetraram redes de redes externas ( "hackers").

Os usuários e o pessoal de serviço dentre os funcionários têm as maiores oportunidades de realizar ações não autorizadas, devido ao fato de terem certos poderes para acessar recursos e bons conhecimentos de tecnologia de processamento de informações. As ações desse grupo de infratores estão diretamente relacionadas à violação das regras e instruções existentes. Este grupo de infratores apresenta um perigo particular ao interagir com estruturas criminosas.

Os trabalhadores deslocados podem usar seu conhecimento de tecnologia de trabalho, garantias e direitos de acesso para atingir metas.

As estruturas criminosas representam a fonte mais agressiva de ameaças externas. Para implementar seus planos, essas estruturas podem violar abertamente a lei e envolver os funcionários da organização em suas atividades com todas as forças e meios disponíveis.

Os hackers possuem as mais altas qualificações técnicas e conhecimento dos pontos fracos do software utilizado no AS. Eles representam a maior ameaça ao interagir com trabalhadores que trabalham ou demitidos e estruturas criminosas.

As organizações envolvidas no desenvolvimento, fornecimento e reparação de equipamentos, sistemas de informação representam uma ameaça externa devido ao facto de ocasionalmente terem acesso direto aos recursos de informação. As estruturas criminosas podem usar essas organizações para emprego temporário de seus membros para acessar informações protegidas.

7. Política técnica na área de segurança da informação

7.1. Principais disposições da política técnica

A implementação de uma política técnica na área de segurança da informação deve partir da premissa de que é impossível fornecer o nível necessário de segurança da informação não apenas com a ajuda de um uma ferramenta separada (Eventos), mas também com a ajuda de seu conjunto simples. Eles precisam ser sistematicamente coordenados entre si ( aplicativo complexo), e os elementos individuais da UA que estão sendo desenvolvidos devem ser considerados como parte de um único sistema de informação em design protegido proporção ideal técnico ( hardware, software) fundos e medidas organizativas.

As principais direções da implementação da política técnica de garantia da segurança da informação da UA é garantir a proteção dos recursos de informação contra roubo, perda, vazamento, destruição, distorção ou falsificação devido ao acesso não autorizado e efeitos especiais.

No âmbito das orientações indicadas da política técnica para garantir a segurança da informação, são realizados:

implementação de um sistema de autorização para a admissão de artistas ( usuários, pessoal de serviço) a obras, documentos e informações de natureza confidencial;
restringir o acesso de artistas e pessoas não autorizadas a edifícios e instalações onde são realizados trabalhos confidenciais e estão localizados meios de informação e comunicação nos quais ( armazenado, transmitido) informações de caráter confidencial, diretamente aos meios de informatização e comunicações;
delimitação do acesso de usuários e pessoal de manutenção aos recursos de informação, ferramentas de software para tratamento e proteção da informação em subsistemas de vários níveis e finalidades incluídos no AS;
contabilidade de documentos, matrizes de informações, registro de ações de usuários e pessoal de manutenção, controle de acesso não autorizado e ações de usuários, pessoal de manutenção e pessoas não autorizadas;
prevenção da introdução de programas de vírus, marcadores de software em subsistemas automatizados;
proteção criptográfica de informações processadas e transmitidas por meio de tecnologia informática e comunicações;
armazenamento confiável de mídia de armazenamento de máquina, chaves criptográficas ( informação chave) e sua circulação, excluindo roubo, substituição e destruição;
necessária redundância de meios técnicos e duplicação de arrays e meios de armazenamento;
redução do nível e conteúdo informativo de radiações espúrias e interferências geradas por diversos elementos de subsistemas automatizados;
isolação elétrica de circuitos de alimentação, aterramento e demais circuitos de objetos de informatização que extrapolam a área controlada;
oposição aos meios de observação ópticos e a laser.

7.2. Formação do modo de segurança da informação

Levando em conta as ameaças identificadas à segurança da usina nuclear, o regime de segurança da informação deve ser formado como um conjunto de métodos e medidas para proteger as informações que circulam na usina nuclear e a infraestrutura que a suporta de efeitos acidentais ou intencionais de de natureza natural ou artificial, acarretando danos aos proprietários ou usuários da informação.

Um conjunto de medidas para a formação de um regime de segurança da informação inclui:

estabelecimento no AS do regime organizacional e jurídico de segurança da informação ( documentos regulamentares, trabalho com pessoal, trabalho de escritório);
implementação de medidas organizacionais e técnicas para proteger informações restritas de vazamento por meio de canais técnicos;
medidas organizacionais e de software e hardware para evitar ações não autorizadas ( Acesso) aos recursos de informação da UA;
um conjunto de medidas para controlar o funcionamento de meios e sistemas de proteção de recursos de informação de distribuição limitada após impactos acidentais ou deliberados.

8. Medidas, métodos e meios para garantir a segurança da informação

8.1. Arranjos organizacionais

Arranjos organizacionais- são medidas organizacionais que regulam os processos de funcionamento do SA, o uso de seus recursos, as atividades do pessoal de manutenção, bem como o procedimento para que os usuários interajam com o sistema de forma a dificultar ou excluir a possibilidade de implementar ameaças de segurança e reduzir a quantidade de danos se forem implementadas.

8.1.1. Formação da política de segurança

O principal objetivo das medidas organizacionais é formar uma política de segurança da informação que reflita as abordagens de proteção da informação e garantir sua implementação, alocando os recursos necessários e monitorando o estado das coisas.

Do ponto de vista prático, é aconselhável dividir a política de segurança da CN em dois níveis. O nível superior inclui decisões que afetam as atividades da organização como um todo. Exemplos de tais soluções podem ser:

formação ou revisão de um programa abrangente de segurança da informação, determinação dos responsáveis por sua implementação;
formular metas, definir tarefas, determinar áreas de atuação na área de segurança da informação;
tomar decisões sobre a implementação do programa de segurança, que são consideradas no nível da organização como um todo;
disposição normativa ( jurídico) bancos de dados de problemas de segurança, etc.

A política de nível inferior define os procedimentos e regras para atingir metas e resolver problemas de segurança da informação e detalha (regula) essas regras:

qual é o escopo da política de segurança da informação;
quais são os papéis e responsabilidades dos funcionários responsáveis pela implementação da política de segurança da informação;
quem tem direitos de acesso a informações restritas;
quem e em que condições pode ler e modificar informações, etc.

A política de nível inferior deve:

dispor sobre a regulação das relações de informação, excluindo a possibilidade de ações arbitrárias, monopolistas ou não autorizadas em relação a recursos de informação confidencial;
determinar princípios e métodos de coalizão e hierarquia para compartilhar segredos e restringir o acesso a informações restritas;
optar pela proteção criptográfica de software e hardware, contrariando acessos não autorizados, autenticação, autorização, identificação e outros mecanismos de proteção que assegurem a efetivação dos direitos e responsabilidades dos sujeitos das relações de informação.

8.1.2. Regulamento de acesso a instalações técnicas

A operação das estações de trabalho seguras e dos servidores do Banco deve ser realizada em instalações dotadas de fechaduras automáticas confiáveis, sistemas de alarme e constantemente vigiadas ou vigiadas, o que exclui a possibilidade de entrada não autorizada nas instalações de pessoas não autorizadas e garante a segurança física dos recursos protegidos localizado no local ( AWS, documentos, detalhes de acesso, etc.). A colocação e instalação de meios técnicos de tais postos de trabalho devem excluir a possibilidade de visualização visual da entrada ( derivado) informações por pessoas que não estão relacionadas com ele. A limpeza das instalações com equipamentos nelas instalados deve ser realizada na presença do responsável a quem estes meios técnicos são atribuídos, ou do responsável de serviço da unidade, cumprindo as medidas que excluem o acesso de pessoas não autorizadas aos recursos protegidos.

Durante o processamento de informações restritas, somente pessoal autorizado a trabalhar com essas informações deve estar presente nas instalações.

No final do dia de trabalho, as instalações com estações de trabalho protegidas instaladas devem ser vigiadas.

Para o armazenamento de documentos oficiais e suportes de máquinas com informações protegidas, os colaboradores dispõem de armários metálicos, bem como meios para destruição de documentos.

Os meios técnicos utilizados para processar ou armazenar informações confidenciais devem ser lacrados.

8.1.3. Regulamento da admissão de funcionários ao uso de recursos de informação

No quadro do sistema de autorizações, estabelece-se: quem, a quem, que informação e para que tipo de acesso se pode prestar e em que condições; sistema de controle de acesso, que envolve a definição para todos os usuários do AS das informações e recursos de software disponíveis para operações específicas ( ler, escrever, modificar, excluir, executar) usando as ferramentas de acesso de software e hardware especificadas.

A admissão de trabalhadores para trabalhar com a UA e o acesso aos seus recursos devem ser rigorosamente regulamentados. Quaisquer alterações na composição e poderes dos usuários dos subsistemas da UA devem ser feitas da maneira prescrita.

Os principais usuários da informação no AS são funcionários das divisões estruturais da organização. O nível de autoridade de cada usuário é determinado individualmente, observando os seguintes requisitos:

informações abertas e confidenciais são colocadas em servidores diferentes, se possível;
cada funcionário goza apenas dos direitos que lhe são atribuídos em relação às informações com as quais precisa trabalhar de acordo com seus deveres oficiais;
o chefe tem o direito de visualizar as informações de seus subordinados;
as operações tecnológicas mais críticas devem ser realizadas de acordo com a regra "Duas mãos"- a exatidão das informações inseridas é confirmada por outro funcionário que não tem o direito de inserir informações.

Todos os funcionários admitidos a trabalhar na central e o pessoal de manutenção da central devem ser pessoalmente responsáveis por violações do procedimento estabelecido para processamento automatizado de informações, regras para armazenamento, uso e transferência de recursos protegidos do sistema à sua disposição. Cada colaborador, ao contratar, deve assinar o Termo de Compromisso de cumprimento dos requisitos de preservação de informações confidenciais e responsabilidade por sua violação, bem como a implementação das regras de trabalho com informações protegidas no AS.

O processamento de informações protegidas nos subsistemas da UA deve ser realizado de acordo com as instruções tecnológicas aprovadas ( ordens) para esses subsistemas.

Para usuários protegidos por estações de trabalho, devem ser desenvolvidas as instruções tecnológicas necessárias, incluindo requisitos para garantir a segurança das informações.

8.1.4. Regulação dos processos de manutenção de bancos de dados e modificação de recursos de informação

Todas as operações de manutenção de bases de dados na UA e a admissão de funcionários para trabalhar com essas bases de dados devem ser rigorosamente regulamentadas. Quaisquer alterações na composição e poderes dos usuários do banco de dados AS devem ser feitas da maneira prescrita.

A distribuição de nomes, geração de senhas, manutenção das regras de delimitação de acesso a bancos de dados é confiada aos funcionários do Departamento de Tecnologias da Informação. Nesse caso, podem ser usados meios regulares e adicionais de proteção do SGBD e dos sistemas operacionais.

8.1.5. Regulação de processos de manutenção e modificação de recursos de hardware e software

Recursos do sistema a serem protegidos ( tarefas, programas, estação de trabalho) estão sujeitos a uma contabilidade rigorosa ( com base no uso de formulários apropriados ou bancos de dados especializados).

A configuração de hardware e software das estações de trabalho automatizadas, onde se processa informação protegida ou a partir das quais é possível aceder a recursos protegidos, deve corresponder ao leque de funções funcionais atribuídas aos utilizadores desta estação de trabalho. Todos os dispositivos de entrada e saída de informações (extras) não utilizados ( Portas COM, USB, LPT, unidades de disquete, CD e outras mídias de armazenamento) nessas estações de trabalho devem ser desabilitados (excluídos), softwares e dados desnecessários dos discos da estação de trabalho também devem ser excluídos.

Para simplificar a manutenção, manutenção e organização da proteção, as estações de trabalho devem ser equipadas com software e configuradas de forma unificada ( de acordo com as regras estabelecidas).

O comissionamento de novas estações de trabalho e todas as alterações na configuração de hardware e software, estações de trabalho existentes no AS da organização devem ser realizadas apenas de acordo com o procedimento estabelecido.

Todos os softwares ( desenvolvidos por especialistas da organização, obtidos ou adquiridos de fabricantes) deve ser testado da maneira prescrita e transferido para o depositário do programa da organização. Nos subsistemas AS, apenas as ferramentas de software recebidas na ordem estabelecida do depositário devem ser instaladas e utilizadas. O uso de software no AS que não esteja incluído no depositário do programa deve ser proibido.

Desenvolvimento de software, teste de software desenvolvido e adquirido, transferência de software para operação devem ser realizados de acordo com o procedimento estabelecido.

8.1.6. Treinamento e educação do usuário

Antes de conceder acesso ao AS, seus usuários, bem como o pessoal de gestão e manutenção, devem estar familiarizados com a lista de informações confidenciais e seu nível de autoridade, bem como a documentação organizacional, administrativa, regulatória, técnica e operacional que define o requisitos e procedimentos para o processamento de tais informações.

A proteção da informação em todas as áreas acima só é possível após o desenvolvimento de uma certa disciplina entre os usuários, ou seja, normas que são obrigatórias para todos aqueles que trabalham na AS. Tais normas incluem a proibição de quaisquer ações intencionais ou não intencionais que perturbem o funcionamento normal do AS, causem custos adicionais de recursos, violem a integridade das informações armazenadas e processadas e violem os interesses de usuários legítimos.

Todos os colaboradores que utilizem subsistemas específicos da UA no seu trabalho devem estar familiarizados com os documentos organizativos e administrativos para a proteção da UA na parte que lhes diz respeito, devem conhecer e seguir rigorosamente as instruções tecnológicas e obrigações gerais para garantir a segurança de informação. A entrega dos requisitos destes documentos às pessoas admitidas ao tratamento de informação protegida deve ser realizada pelos chefes dos departamentos mediante assinatura.

8.1.7. Responsabilidade pela violação dos requisitos de segurança da informação

Para cada violação grave dos requisitos de segurança da informação por funcionários da organização, uma investigação interna deve ser realizada. Medidas apropriadas de influência devem ser aplicadas aos perpetradores. O grau de responsabilidade do pessoal por ações cometidas em violação das regras estabelecidas para garantir o processamento automatizado seguro de informações deve ser determinado pelo dano causado, a presença de intenção maliciosa e outros fatores.

Para implementar o princípio da responsabilidade pessoal dos usuários por suas ações, é necessário:

identificação individual de usuários e processos iniciados por eles, ou seja, estabelecer um identificador para eles, com base no qual a diferenciação de acesso será realizada de acordo com o princípio da razoabilidade do acesso;
autenticação de usuário ( autenticação) com base em senhas, chaves em uma base física diferente, etc.;
cadastro ( exploração madeireira) funcionamento dos mecanismos de controle de acesso aos recursos do sistema de informação, com indicação de data e hora, identificadores dos recursos solicitantes e solicitados, tipo de interação e seu resultado;
reação a tentativas de acesso não autorizado ( alarme, bloqueio, etc.).

8.2. Meios técnicos de proteção

Técnico ( hardware e software) meios de proteção - vários dispositivos eletrônicos e programas especiais, que fazem parte da UA e executam (independentemente ou em combinação com outros meios) funções de proteção ( identificação e autenticação de usuários, controle de acesso a recursos, registro de eventos, proteção criptográfica de informações, etc.).

Tendo em conta todos os requisitos e princípios para garantir a segurança da informação no AS em todas as áreas de proteção, os seguintes meios devem ser incluídos no sistema de proteção:

meio de autenticar usuários e elementos AS ( terminais, tarefas, elementos de banco de dados, etc.) correspondente ao grau de confidencialidade das informações e dados processados;
meios de diferenciação do acesso aos dados;
meios de proteção criptográfica de informações em linhas de transmissão de dados e em bancos de dados;
meios de registrar recursos e monitorar o uso de informações protegidas;
meios de responder ao UA detectado ou tentativas de UA;
meios de reduzir o nível e o conteúdo de informações de radiação e captações espúrias;
meios de proteção contra meios ópticos de observação;
meios de proteção contra vírus e programas maliciosos;
meio de desacoplamento elétrico tanto dos elementos da central nuclear quanto dos elementos estruturais das instalações em que o equipamento está localizado.

As seguintes tarefas principais são atribuídas aos meios técnicos de proteção contra acesso não autorizado:

identificação e autenticação de usuários usando nomes e/ou hardware especial ( Memória de toque, cartão inteligente, etc.);
regulação do acesso do usuário aos dispositivos físicos das estações de trabalho ( drives, portas de E/S);
controle de acesso seletivo (discricionário) a unidades lógicas, diretórios e arquivos;
diferenciação autoritativa (obrigatória) de acesso a dados protegidos na estação de trabalho e no servidor de arquivos;
a criação de um fechado ambiente de software permissão para executar programas localizados em unidades locais e de rede;
proteção contra a penetração de vírus de computador e programas maliciosos;
controle de integridade dos módulos do sistema de proteção, áreas do sistema de disco e listas de arquivos arbitrárias no modo automático e por comandos do administrador;
registro de ações do usuário em um log protegido, a presença de vários níveis de registro;
proteção dos dados do sistema de proteção no servidor de arquivos do acesso de todos os usuários, incluindo o administrador da rede;
gerenciamento centralizado das configurações de controle de acesso nas estações de trabalho da rede;
registro de todos os eventos de UA ocorridos nas estações de trabalho;
controle operacional sobre o trabalho dos usuários da rede, alterando os modos de operação das estações de trabalho e a possibilidade de bloqueio ( se necessário) de qualquer estação da rede.

A aplicação bem sucedida dos meios técnicos de proteção pressupõe que o cumprimento dos requisitos abaixo listados seja assegurado por medidas organizacionais e pelos meios físicos de proteção utilizados:

é assegurada a integridade física de todos os componentes da UA;
cada trabalhador usuário do sistema) tem um nome de sistema exclusivo e a autoridade mínima necessária para desempenhar suas funções funcionais de acesso aos recursos do sistema;
uso de programas instrumentais e tecnológicos nas estações de trabalho ( utilitários de teste, depuradores, etc.) que permitem tentativas de hackear ou burlar medidas de segurança é limitada e estritamente regulamentada;
não há usuários de programação no sistema seguro, e o desenvolvimento e depuração de programas é realizado fora do sistema seguro;
todas as alterações na configuração de hardware e software são feitas de forma estritamente estabelecida;
hardware de rede ( hubs, switches, roteadores, etc.) está localizado em locais inacessíveis a estranhos ( salas especiais, armários, etc.);
o serviço de segurança da informação oferece suporte gerencial e administrativo contínuo para o funcionamento das ferramentas de proteção da informação.

8.2.1. Meios de identificação e autenticação de usuários

Para evitar que pessoas não autorizadas acessem o AS, é necessário garantir que o sistema reconheça cada usuário legítimo (ou grupos limitados de usuários). Para isso, no sistema ( em local protegido) deve armazenar um número de atributos de cada usuário pelos quais esse usuário pode ser identificado. No futuro, ao entrar no sistema e, se necessário, ao realizar determinadas ações no sistema, o usuário deverá se identificar, ou seja, especifique o identificador atribuído a ele no sistema. Além disso, vários tipos de dispositivos podem ser usados para identificação: cartões magnéticos, insertos de chave, disquetes, etc.

Autenticação ( autenticação) usuários devem ser realizados através do uso de senhas (palavras secretas) ou meios especiais de verificação de autenticação características únicas(parâmetros) dos usuários.

8.2.2. Meio para restringir o acesso aos recursos do Sistema Automatizado

Após reconhecer o usuário, o sistema deve autorizar o usuário, ou seja, determinar quais direitos são concedidos ao usuário, ou seja, quais dados e como ele pode usá-lo, quais programas ele pode executar, quando, por quanto tempo e de quais terminais ele pode trabalhar, quais recursos do sistema ele pode usar, etc. A autorização do usuário deve ser realizada usando os seguintes mecanismos para implementação do controle de acesso:

mecanismos de controle seletivo de acesso baseado no uso de esquemas de atributos, listas de permissões, etc.;
mecanismos para controle de acesso autoritário com base no uso de rótulos de sensibilidade de recursos e níveis de acesso do usuário;
mecanismos para garantir um ambiente fechado de software confiável ( individual para cada usuário listas de programas autorizados a executar) suportado por mecanismos de identificação e autenticação de usuários quando eles efetuam login no sistema.

As áreas de responsabilidade e tarefas dos meios técnicos específicos de proteção são estabelecidas com base em suas capacidades e características de desempenho descritas na documentação para esses meios.

Os meios técnicos de controle de acesso devem ser parte integrante de um sistema unificado de controle de acesso:

ao território controlado;
em quartos separados;
para elementos AS e elementos do sistema de segurança da informação ( acesso físico);
para recursos AS ( software-acesso matemático);
para repositórios de informações ( mídia de armazenamento, volumes, arquivos, conjuntos de dados, arquivos, referências, registros, etc.);
para recursos ativos ( programas aplicativos, tarefas, formulários de solicitação, etc.);
ao sistema operacional, programas de sistema e programas de segurança, etc.

8.2.3. Meios para garantir e monitorar a integridade do software e dos recursos de informação

O controle de integridade de programas, informações processadas e meios de proteção, a fim de garantir a invariância do ambiente de software determinado pela tecnologia de processamento fornecida, e proteção contra correção não autorizada de informações, deve ser fornecido:

meios de cálculo de somas de verificação;
meios Assinatura Eletrônica;
meio de comparar recursos críticos com suas cópias de referência ( e recuperação em caso de violação de integridade);
meios de controle de acesso ( negar acesso com direitos de modificação ou exclusão).

Para proteger informações e programas contra destruição ou distorção não autorizada, é necessário garantir:

duplicação de tabelas e dados do sistema;
duplexação e espelhamento de dados em discos;
rastreamento de transações;
verificações periódicas de integridade sistema operacional e programas de usuário, bem como arquivos de usuário;
proteção e controle antivírus;
backup de dados de acordo com um esquema predeterminado.

8.2.4. Controles de eventos de segurança

Os controles devem garantir que todos os eventos sejam detectados e registrados ( ações do usuário, tentativas de UA, etc.), o que pode levar a uma violação da política de segurança e levar a situações de crise. Os controles devem fornecer a capacidade de:

monitoramento constante dos principais nós da rede e equipamentos de comunicação formadores de rede, bem como a atividade da rede em segmentos-chave da rede;
controle sobre o uso dos serviços da rede corporativa e pública pelos usuários;
manutenção e análise de logs de eventos de segurança;
detecção oportuna de ameaças externas e internas à segurança da informação.

Ao registrar eventos de segurança, as seguintes informações devem ser registradas no log do sistema:

data e hora do evento;
identificador de assunto ( usuário, programa) realizar a ação registrada;
açao ( se uma solicitação de acesso for registrada, o objeto e o tipo de acesso serão anotados).

Os controles devem fornecer detecção e registro dos seguintes eventos:

login de usuário;
login do usuário na rede;
login ou tentativa de rede sem sucesso ( entrada de senha errada);
conexão com um servidor de arquivos;
lançamento do programa;
conclusão do programa;
uma tentativa de iniciar um programa que não está disponível para lançamento;
uma tentativa de obter acesso a um diretório inacessível;
uma tentativa de ler/gravar informações de um disco inacessível ao usuário;
uma tentativa de iniciar o programa a partir de um disco inacessível ao usuário;
violação da integridade de programas e dados do sistema de proteção, etc.

As seguintes formas principais de responder a fatos descobertos de UA devem ser apoiadas ( possivelmente com a participação de um administrador de segurança):

notificação do titular de informação sobre a UA aos seus dados;
remoção do programa ( tarefas) de execução posterior;
notificar o administrador do banco de dados e o administrador de segurança;
desligamento do terminal ( posto de trabalho), a partir do qual foram realizadas tentativas de acesso à informação da UA ou ações ilícitas na rede;
exclusão do infrator da lista de usuários cadastrados;
dar um alarme, etc.

8.2.5. Meios criptográficos de proteção de informações

Um dos elementos mais importantes do sistema de segurança da informação da UA deve ser a utilização de métodos criptográficos e meios de proteção da informação contra acesso não autorizado durante a sua transmissão pelos canais de comunicação e armazenamento em meios informáticos.

Todos os meios de proteção de informações criptográficas no AS devem ser baseados no núcleo criptográfico básico. Para o direito de usar mídia criptográfica, uma organização deve ter licenças estabelecidas por lei.

O sistema de chave de proteção criptográfica utilizado no AS deve fornecer sobrevivência criptográfica e proteção multinível contra comprometimento de informações chave, separação de usuários por níveis de proteção e zonas de interação entre eles e usuários de outros níveis.

A confidencialidade e a proteção contra imitação das informações durante sua transmissão pelos canais de comunicação devem ser asseguradas por meio do uso de criptografia de assinante e canal no sistema. A combinação de criptografia de informações de assinante e canal deve garantir sua proteção de ponta a ponta ao longo de todo o caminho de passagem, proteger a informação em caso de seu redirecionamento errôneo devido a falhas e mau funcionamento do hardware e software das centrais de comutação.

O AS, que é um sistema com recursos de informação distribuídos, também deve utilizar os meios de geração e verificação de assinatura eletrônica, que garantam a integridade e comprovação legal da autenticidade das mensagens, bem como autenticação de usuários, estações assinantes e confirmação de momento de envio de mensagens. Nesse caso, algoritmos padronizados de assinatura eletrônica devem ser usados.

8.3. Gestão de Segurança da Informação

O gerenciamento do sistema de segurança da informação no AS é um impacto direcionado nos componentes do sistema de segurança ( organizacional, técnica, de software e criptográfica) para atingir os indicadores e padrões de segurança da informação que circulam na CN no âmbito da implementação das principais ameaças à segurança.

O principal objetivo da organização da gestão do sistema de segurança da informação é aumentar a confiabilidade da proteção da informação no processo de seu processamento, armazenamento e transmissão.

A gestão do sistema de segurança da informação é implementada por um subsistema de controle especializado, que é um conjunto de controles, ferramentas técnicas, de software e criptografia, além de medidas organizacionais e interagindo entre si pontos de controle de vários níveis.

As funções do subsistema de controle são: informativa, de controle e auxiliar.

A função de informação consiste no monitoramento contínuo do estado do sistema de proteção, verificando a conformidade dos indicadores de segurança com valores aceitáveis e informando imediatamente os operadores de segurança sobre situações que surjam na usina nuclear que possam levar a uma violação da segurança da informação. Existem dois requisitos para monitorar o estado do sistema de proteção: integridade e confiabilidade. A integralidade caracteriza o grau de cobertura de todos os meios de proteção e parâmetros de seu funcionamento. A confiabilidade do controle caracteriza o grau de adequação dos valores dos parâmetros controlados ao seu valor real. Como resultado do processamento dos dados de controle, são geradas informações sobre o estado do sistema de proteção, que são generalizadas e transmitidas aos pontos de controle superiores.

A função de controle é formar planos para a implementação das operações tecnológicas da usina nuclear, levando em consideração os requisitos de segurança da informação nas condições prevalecentes para este momento tempo, bem como na determinação da localização da situação de vulnerabilidade da informação e na prevenção do seu vazamento devido ao bloqueio imediato de trechos da NPP onde surgem ameaças à segurança da informação. As funções de gerenciamento incluem contabilidade, armazenamento e emissão de documentos e mídia de informação, senhas e chaves. Paralelamente, a geração de senhas, chaves, manutenção de ferramentas de controle de acesso, aceitação de novos softwares incluídos no ambiente de software AS, controle de conformidade do ambiente de software com o padrão, bem como controle sobre o andamento da evolução tecnológica processo de processamento de informações confidenciais é atribuído aos funcionários do Departamento de Tecnologia da Informação e do Departamento de Segurança Econômica.

As funções auxiliares do subsistema de controle incluem a contabilização de todas as operações realizadas no AS com informações protegidas, a formação de documentos de reporte e a coleta de dados estatísticos para analisar e identificar potenciais canais de vazamento de informações.

8.4. Monitoramento da eficácia do sistema de proteção

O monitoramento da eficácia do sistema de segurança da informação é realizado para detectar e prevenir o vazamento de informações em tempo hábil devido ao acesso não autorizado a ele, bem como para evitar possíveis efeitos especiais que visam destruir informações, destruindo ferramentas de informatização.

A avaliação da eficácia das medidas de proteção da informação é realizada por meio de controles organizacionais, técnicos e de software para o cumprimento dos requisitos estabelecidos.

O controle pode ser realizado tanto com a ajuda de meios padrão do sistema de segurança da informação quanto com a ajuda de meios especiais de controle e monitoramento tecnológico.

8.5. Recursos para garantir a segurança da informação de dados pessoais

A classificação dos dados pessoais é realizada de acordo com a gravidade das consequências da perda das propriedades de segurança dos dados pessoais para o titular dos dados pessoais.

Sobre dados pessoais ” a categorias especiais de dados pessoais;
dados pessoais classificados de acordo com a Lei Federal " Sobre dados pessoais ” aos dados pessoais biométricos;
dados pessoais que não podem ser atribuídos a categorias especiais de dados pessoais, a dados pessoais biométricos, a dados pessoais publicamente disponíveis ou despersonalizados;
dados pessoais classificados de acordo com a Lei Federal " Sobre dados pessoais ” a dados pessoais publicamente disponíveis ou não identificados.

A transferência de dados pessoais para terceiros deve ser realizada com base na Lei Federal ou no consentimento do titular dos dados pessoais. No caso de uma organização confiar o processamento de dados pessoais a um terceiro com base em um contrato, uma condição essencial desse contrato é a obrigação do terceiro de garantir a confidencialidade dos dados pessoais e a segurança dos dados pessoais durante o seu processamento.

A organização deve interromper o processamento de dados pessoais e destruir os dados pessoais coletados, salvo disposição em contrário pela legislação da Federação Russa, dentro dos prazos estabelecidos pela legislação da Federação Russa nos seguintes casos:

ao atingir os objetivos de processamento ou quando não for mais necessário alcançá-los;
a pedido do titular dos dados pessoais ou do organismo autorizado para a proteção dos direitos dos titulares dos dados pessoais - se os dados pessoais estiverem incompletos, desatualizados, imprecisos, obtidos ilegalmente ou não forem necessários para a finalidade declarada de tratamento;
quando o titular dos dados pessoais retirar o consentimento para o processamento de seus dados pessoais, se tal consentimento for exigido de acordo com a legislação da Federação Russa;
se for impossível para o operador eliminar as violações cometidas no processamento de dados pessoais.

A organização deve definir e documentar:

o procedimento para a destruição de dados pessoais ( incluindo portadores materiais de dados pessoais);
o procedimento de processamento de pedidos de titulares de dados pessoais ( ou seus representantes legais) relativamente ao tratamento dos seus dados pessoais;
o procedimento para ações em caso de solicitações do Organismo Autorizado para a Proteção dos Direitos dos Titulares de Dados Pessoais ou outras autoridades de supervisão que exerçam controle e supervisão no campo dos dados pessoais;
abordagem para atribuir AS a sistemas de informação de dados pessoais ( Avançar - ISPD );
lista de ISPDs. A lista de ISPDs deve incluir AS, cuja finalidade é o tratamento de dados pessoais.

Para cada ISPD, o seguinte deve ser determinado e documentado:

finalidade do processamento de dados pessoais;
o volume e o conteúdo dos dados pessoais processados;
lista de ações com dados pessoais e métodos de seu processamento.

O volume e o conteúdo dos dados pessoais, bem como a lista de ações e métodos de tratamento de dados pessoais devem estar em conformidade com as finalidades do tratamento. Caso para realizar o processo de tecnologia da informação, cuja implementação é suportada pelo ISPD, não seja necessário processar determinados dados pessoais, esses dados pessoais devem ser excluídos.

Os requisitos para garantir a segurança dos dados pessoais no ISPD são geralmente implementados por um conjunto de medidas organizacionais, tecnológicas, técnicas e de software, meios e mecanismos de proteção da informação.

Organização de execução e ( ou) a implementação dos requisitos para garantir a segurança dos dados pessoais deve ser realizada por uma unidade estrutural ou por um funcionário (funcionário) da organização responsável por garantir a segurança dos dados pessoais, ou contratualmente por uma organização - uma contraparte de uma organização que possui uma licença para a proteção técnica de informações confidenciais.

A criação do ISPD de uma organização deve incluir o desenvolvimento e aprovação ( declaração) a documentação organizacional, administrativa, de projeto e operacional do sistema que está sendo criado prevista nos termos de referência. A documentação deve refletir as questões de garantia da segurança dos dados pessoais processados.

O desenvolvimento de conceitos, especificações técnicas, projeto, criação e teste, aceitação e comissionamento do ISPD deve ser realizado mediante acordo e sob o controle de uma unidade estrutural ou de um funcionário (funcionário) responsável por garantir a segurança dos dados pessoais.

Todos os ativos de informação pertencentes ao ISPD da organização devem ser protegidos do impacto Código malicioso. A organização deve definir e documentar os requisitos para garantir a segurança dos dados pessoais por meio de proteção antivírus e o procedimento para monitorar a implementação desses requisitos.

A organização deve definir um sistema de controle de acesso que permita o controle de acesso a portas de comunicação, dispositivos de entrada/saída, mídia removível e unidades externas Informações do ISPD.

Os chefes das divisões operacionais e de serviço ISPD da organização garantem a segurança dos dados pessoais durante o processamento no ISPD.

Os funcionários que tratam dados pessoais no ISPD devem agir de acordo com as instruções ( gestão, regulamentos, etc.), que faz parte da documentação operacional do ISPD, e atendem aos requisitos dos documentos para garantia do IS.

As responsabilidades pela administração de ferramentas de proteção e mecanismos de proteção que implementam os requisitos para garantir a segurança da informação ISPD da organização são atribuídas por ordens ( ordens) para especialistas do Departamento de Tecnologia da Informação.

O procedimento para as ações de especialistas do Departamento de Tecnologia da Informação e pessoal envolvido no processamento de dados pessoais deve ser determinado por instruções ( diretrizes), que são preparados pelo desenvolvedor do ISPD como parte da documentação operacional do ISPD.

As instruções especificadas ( guias):

estabelecer requisitos para qualificação de pessoal na área de segurança da informação, bem como lista atualizada de objetos protegidos e regras para atualizá-la;
contém informações completas e atualizadas por tempo) dados de autorização do usuário;
conter dados sobre tecnologia de processamento de informações na medida necessária para um especialista em segurança da informação;
definir a ordem e a frequência de análise dos logs de eventos ( arquivos de diário);
regular outras atividades.

Os parâmetros de configuração dos meios de proteção e mecanismos de proteção da informação contra acesso não autorizado, utilizados na área de responsabilidade dos especialistas do Departamento de Tecnologias de Informação, são determinados na documentação operacional do ISPD. A ordem e a frequência das verificações dos parâmetros de configuração definidos são estabelecidas na documentação operacional ou regulamentadas por documento interno, devendo as verificações ser realizadas pelo menos uma vez por ano.

A organização deve definir e documentar o procedimento de acesso às instalações onde se encontram os meios técnicos do ISPD e os suportes de dados pessoais, que prevê o controlo do acesso às instalações por pessoas não autorizadas e a presença de obstáculos à entrada não autorizada nas instalações . O procedimento especificado deve ser desenvolvido por uma unidade estrutural ou por um funcionário ( trabalhador) responsável por garantir o regime de segurança física e aprovado pela unidade estrutural ou oficial ( trabalhador), responsável por garantir a segurança dos dados pessoais, e o Departamento de Segurança Econômica.

Os usuários ISPD e o pessoal de manutenção não devem realizar operações não autorizadas e ( ou) não registrado ( descontrolado) copiar dados pessoais. Para este fim, medidas organizacionais e técnicas devem proibir não autorizados e ( ou) não registrado ( descontrolado) copiar dados pessoais, inclusive usando alienáveis ( intercambiável) meios de armazenamento, dispositivos móveis para copiar e transferir informações, portas de comunicação e dispositivos de entrada/saída que implementam várias interfaces ( incluindo sem fio), dispositivos de armazenamento de dispositivos móveis ( por exemplo, laptops, PDAs, smartphones, celulares ), bem como dispositivos de foto e vídeo.

O controle da segurança pessoal é realizado por um especialista em segurança da informação, tanto com a ajuda de meios padrão do sistema de segurança da informação, quanto com a ajuda de meios especiais de controle e monitoramento tecnológico.

Download arquivo ZIP (65475)

Documentos vieram a calhar - coloque "like" ou:

Se houver uma ameaça, deve haver métodos de proteção e contramedidas.. Os métodos são os meios para atingir as metas estabelecidas e a ordem dos métodos de usar as forças para proteger as informações confidenciais.

O princípio da ação humana no subconsciente é projetado para alcançar resultados positivos. A experiência dos profissionais da área de segurança da informação definiu com bastante clareza o conjunto de meios, forças e técnicas que visam garantir a segurança da informação ou a confiabilidade da informação.

Garantir a confiabilidade ou a segurança da informação é alcançada por meio das seguintes ações destinadas a:

A identificação de ameaças se expressa em uma análise e controle dignos da ocorrência admissível de ameaças potenciais ou reais, bem como medidas oportunas para preveni-las;
a prevenção de ameaças é alcançada garantindo a segurança da informação ou a confiabilidade da informação em favor da antecipação e sua ocorrência
detectar ameaças com análise de risco;
Inclusão de medidas para eliminar a ameaça ou atos criminosos e localização de atos criminosos;
detecção de ameaças, alcançada pela identificação de atos criminosos específicos e ameaças reais;
eliminação das consequências relativas a ameaças e ações criminosas específicas. Restaurando o status quo (Fig. 1).

Métodos de proteção de informações:

obstáculo - um meio de bloquear fisicamente as ações de um invasor em relação a informações críticas
controle de acesso - meio de proteger a informação regulando o uso de todos os recursos de IP em TI. Esses métodos devem proteger contra informações
Algoritmos de criptografia - os métodos são implementados durante o armazenamento e durante o processamento da informação. Ao transmitir informações, este é o principal e único método de proteção
Regulação é a criação de condições para o armazenamento e processamento de informações em um sistema de informação, sob o qual padrões e padrões de proteção são implementados ao máximo.
A coação é um meio de proteção que obriga os usuários a cumprir as regras para trabalhar em um sistema de informação
Motivação - um meio de proteção que incentiva os usuários de um sistema de informação a não violar as regras, em detrimento dos padrões éticos e morais
Hardware - dispositivos que estão embutidos em mecanismos de computação ou conectados usando interfaces
meios físicos - várias estruturas de engenharia que protegem pessoal, informações, dispositivos, coisas de intrusos
Software - software que está embutido no sistema de informação para implementar proteção
Meios organizacionais - são alcançados com base em documentos normativos que regulam o trabalho dos funcionários de forma a realizar a máxima proteção do sistema de informação

A prevenção de ações ilícitas e possíveis pode se dar por diversos meios e medidas, que vão desde o respeito às relações entre os colaboradores por métodos organizacionais até a proteção por hardware, físico, software e métodos (ou ou). A prevenção de ameaças também é possível pela etapa de obtenção de informações sobre ações preparatórias, atos preparados, roubos planejados e outros elementos de ações criminosas. Para tanto, é necessário contar com informantes em diferentes campos de atuação com diferentes tarefas. Alguns observam e fazem uma avaliação objetiva da situação atual. Outros avaliam os relacionamentos dos funcionários dentro da equipe em várias partes da empresa. Ainda outros trabalham entre grupos criminosos e concorrentes.

Imagem 1

Para prevenir ameaças, a atividade do serviço de segurança analítica e de informação desempenha um papel muito importante com base na análise da situação especial e nas atividades de intrusos e concorrentes. Se você tiver acesso à Internet, o serviço de segurança. E também ou .

A proteção contra a divulgação de dados se reduz à criação de um catálogo de informações que represente um segredo comercial na empresa. Este catálogo de informações deve ser comunicado a todos os funcionários da empresa, com um compromisso por escrito desse funcionário de manter esse segredo. Uma das ações importantes é o sistema de controle sobre a preservação da integridade e confidencialidade dos segredos comerciais.

A proteção de informações confidenciais contra vazamentos funciona com base na contabilização, identificação e controle de prováveis caminhos de vazamento em situações específicas, bem como na implementação de medidas técnicas, organizacionais, organizacionais e técnicas para sua destruição.

A proteção de informações confidenciais contra acesso não autorizado opera com base na implementação de procedimentos técnicos, organizacionais, organizacionais e técnicos para combater o acesso não autorizado. Assim como o controle de métodos de acesso e análise não autorizados.

Na prática, todas as atividades utilizam, até certo ponto, técnicas, e são divididas em três grupos (Fig. 2):

organizacional (no domínio dos meios técnicos);
técnico.
organizacional e técnico;

Figura 2

Referência de ação defensiva

O trabalho de proteção, bem como as técnicas e procedimentos para a manutenção da segurança da informação, são classificados de acordo com as características e objetos de proteção, que se dividem nos seguintes parâmetros:

Por orientação - os métodos de proteção podem ser classificados como ações, um curso para a proteção de pessoal, ativos financeiros e tangíveis e informações como um fundo.

Por métodos - isso é detecção (por exemplo:) ou prevenção, detecção, supressão e restauração.

Por direções - esta é a proteção baseada em métodos legais, ações organizacionais e de engenharia.

Em termos de cobertura, os equipamentos de proteção podem visar a proteção do perímetro da empresa, instalações individuais, edifícios, grupos específicos de equipamentos, meios e sistemas técnicos, elementos individuais(casas, instalações, equipamentos) perigosos do ponto de vista da UA para eles.

O motivo da informação pode ser pessoas, desperdícios, meios técnicos, etc. Os portadores de informação podem ser campos acústicos e eletromagnéticos, ou substâncias (produto, papel, material). O meio de propagação é mídia física ou espaço aéreo.

O infractor pode dispor de todos os meios necessários para recepção de energia electromagnética e acústica, vigilância aérea e capacidade de análise de materiais de apresentação de informação.

Representação da informação em formas materiais. Para excluir a apropriação indébita de informações confidenciais, é necessário processar o sinal ou a fonte de informação por meios silenciados ou outros meios de criptografia.

Com o aumento da taxa de utilização e distribuição de redes de informação ( ou ) e PCs, aumenta o papel de vários fatores que causam divulgação, vazamento e acesso não autorizado à informação. Estes são:

erros;
ações maliciosas ou não autorizadas de funcionários e usuários;
padrões de hardware ou bugs em programas;
desastres naturais, destroços de várias origens e perigos;
erros do usuário e da equipe;
erros em.

Nesse sentido, os principais objetivos da proteção da informação em redes de informação e PC é:

prevenção de vazamentos e perdas de informações, interferência e interceptação em todos os graus de influência, para todos os objetos separados geograficamente;
assegurando os direitos dos usuários e as normas legais em conexão com ACESSOà informação e outros recursos, envolvendo a revisão administrativa das atividades de informação, incluindo ações de responsabilidade pessoal pelo cumprimento dos modos de operação e regras de uso;

Figura 3

conclusões

1. Assegurar que a confiabilidade ou segurança da informação seja alcançada por meio de procedimentos organizacionais, técnicos e técnico-organizacionais, sendo qualquer um deles proporcionado por métodos, meios e medidas únicos e com parâmetros adequados.

2. Uma variedade de ações e condições que contribuem para a assimilação ilegal ou ilícita de dados confidenciais obriga o uso de pelo menos uma variedade de métodos, meios e forças para garantir a segurança ou confiabilidade da informação.

3. Os principais objetivos da proteção da informação são garantir a confidencialidade, integridade e suficiência dos recursos de informação. E também para introduzi-lo no sistema.

4. Os métodos para garantir a segurança da informação devem ter como objetivo um temperamento proativo de ações visando formas precoces de prevenir possíveis ameaças a segredos comerciais.

Segurança da Informação, assim como a proteção da informação, a tarefa é complexa, visando garantir a segurança, implementada pela introdução de um sistema de segurança. O problema da segurança da informação é multifacetado e complexo e abrange uma série de tarefas importantes. Os problemas de segurança da informação são constantemente agravados pelos processos de penetração em todas as esferas da sociedade de meios técnicos de processamento e transmissão de dados e, sobretudo, de sistemas informatizados.

Até o momento, três princípios básicos que a segurança da informação deve proporcionar:

integridade de dados - proteção contra falhas que levam à perda de informações, bem como proteção contra criação ou destruição não autorizada de dados;

confidencialidade das informações;

Ao desenvolver sistemas informáticos, cuja falha ou erros podem levar a consequências graves, as questões de segurança informática tornam-se prioritárias. São muitas as medidas conhecidas que visam garantir a segurança informática, sendo as principais técnicas, organizacionais e legais.

Garantir a segurança das informações é caro, não apenas devido ao custo de aquisição ou instalação de ferramentas de segurança, mas também porque é difícil determinar habilmente os limites de segurança razoável e garantir que o sistema seja mantido adequadamente em um estado saudável.

As ferramentas de segurança não devem ser projetadas, adquiridas ou instaladas até que uma análise apropriada seja feita.

O site analisa a segurança da informação e seu lugar no sistema de segurança nacional, identifica interesses vitais na esfera da informação e ameaças a eles. São consideradas as questões de guerra de informação, armas de informação, princípios, principais tarefas e funções para garantir a segurança da informação, funções do sistema estatal para garantir a segurança da informação, padrões nacionais e estrangeiros no campo da segurança da informação. Uma atenção considerável também é dada às questões legais de segurança da informação.

As questões gerais de segurança da informação em sistemas automatizados de processamento de dados (ASOD), o assunto e objetos de proteção da informação, e as tarefas de proteção da informação em ASOD também são consideradas. São considerados os tipos de ameaças de segurança intencionais e métodos de proteção da informação em ASOD. Métodos e meios de autenticar usuários e delimitar seu acesso a recursos do computador, controle de acesso a equipamentos, uso de senhas simples e dinâmicas, métodos de modificação de esquema senhas simples, métodos funcionais.

Princípios básicos da construção de um sistema de segurança da informação.

Ao construir um sistema de segurança da informação para um objeto, deve-se orientar pelos seguintes princípios:

A continuidade do processo de melhoria e desenvolvimento do sistema de segurança da informação, que consiste em fundamentar e implementar os métodos, métodos e formas mais racionais de proteção da informação, monitoramento contínuo, identificação de gargalos e fragilidades e potenciais canais de vazamento de informação e acesso não autorizado.

Uso abrangente de todo o arsenal de meios de proteção disponíveis em todas as etapas de produção e processamento de informações. Ao mesmo tempo, todos os meios, métodos e medidas utilizados são combinados em um único mecanismo integral - um sistema de segurança da informação.

Monitorar o funcionamento, atualizar e complementar os mecanismos de proteção em função das alterações de possíveis ameaças internas e externas.

Treinamento adequado dos usuários e cumprimento de todas as práticas de privacidade estabelecidas. Sem esse requisito, nenhum sistema de segurança da informação pode fornecer o nível de proteção necessário.

A condição mais importante segurança são legalidade, suficiência, equilíbrio de interesses do indivíduo e da empresa, responsabilidade mútua do pessoal e da administração, interação com as agências estaduais de aplicação da lei.

10) Etapas da construção da segurança da informação

Etapas de construção.

1. Análise abrangente do sistema de informação

empresas em vários níveis. Análise de risco.

2. Desenvolvimento de estruturas organizacionais e administrativas e

documentos regulatórios.

3. Treinamento, desenvolvimento profissional e

reciclagem de especialistas.

4. Reavaliação anual do estado das informações

segurança empresarial

11) Firewall

Firewalls e pacotes antivírus.

Um firewall (às vezes chamado de firewall) ajuda a melhorar a segurança do seu computador. Ele limita as informações que chegam ao seu computador de outros computadores, dando a você mais controle sobre os dados em seu computador e fornecendo ao seu computador uma linha de defesa contra pessoas ou programas (incluindo vírus e worms) que tentam se conectar ao seu computador em forma não autorizada. Você pode pensar em um firewall como um posto de fronteira que verifica informações (geralmente chamadas de tráfego) provenientes da Internet ou rede local. Durante esta verificação, o firewall rejeita ou permite informações ao computador de acordo com as configurações que você configurou.

Contra o que o firewall protege?

Um firewall PODE:

1. Impedir que vírus e worms de computador acessem seu computador.

2. Peça ao usuário para optar por bloquear ou permitir determinadas solicitações de conexão.

3. Manter registros (log de segurança) - a pedido do usuário - gravação permitida e tentativas bloqueadas de se conectar ao computador.

Contra o que o firewall não protege?

Ele não pode:

1. Detecte ou neutralize vírus e worms de computador se eles já tiverem entrado no computador.

3. Bloqueie spam ou e-mails não solicitados para que não cheguem à sua caixa de entrada.

FIREWARE DE HARDWARE E SOFTWARE

Firewalls de hardware- dispositivos individuais que são muito rápidos, confiáveis, mas muito caros, por isso geralmente são usados apenas para proteger grandes redes de computadores. Para usuários domésticos, firewalls embutidos em roteadores, switches, pontos de acesso sem fio, etc., firewalls combinados fornecem proteção dupla contra ataques.

Firewall de softwareé um programa de segurança. Em princípio, é semelhante a um firewall de hardware, mas mais “amigável” ao usuário: possui mais configurações prontas e muitas vezes possui assistentes que auxiliam na configuração. Com ele, você pode permitir ou negar a outros programas o acesso à Internet.

Programa antivírus (antivírus)- qualquer programa para detectar vírus de computador, bem como programas indesejados (considerados maliciosos) em geral e restaurar arquivos infectados (modificados) por tais programas, bem como para prevenção - prevenção de infecção (modificação) de arquivos ou do sistema operacional com código malicioso .

12) Classificação dos sistemas computacionais

Dependendo da localização territorial dos sistemas de assinantes

As redes de computadores podem ser divididas em três classes principais:

redes globais (WAN - Wide Area Network);

redes regionais (MAN - Metropolitan Area Network);

Redes locais (LAN - Local Area Network).

Topologias básicas de LAN

A topologia de uma LAN é um diagrama geométrico das conexões dos nós da rede.

As topologias de redes de computadores podem ser muito diferentes, mas

apenas três são típicos para redes locais:

Anel,

em forma de estrela.

Qualquer rede de computadores pode ser vista como uma coleção

Nó- qualquer dispositivo conectado diretamente a

meio de transmissão da rede.

Topologia em anel prevê a conexão de nós de rede de uma curva fechada - um cabo do meio de transmissão. A saída de um nó da rede é conectada à entrada de outro. As informações são passadas ao redor do anel de nó para nó. Cada nó intermediário entre o transmissor e o receptor retransmite a mensagem enviada. O nó receptor reconhece e recebe apenas mensagens endereçadas a ele.

A topologia em anel é ideal para redes que ocupam um espaço relativamente pequeno. Não possui um nó central, o que aumenta a confiabilidade da rede. A transmissão de informações permite o uso de qualquer tipo de cabo como meio de transmissão.

A disciplina consistente de atender os nós de tal rede reduz seu desempenho, e a falha de um dos nós viola a integridade do anel e exige a adoção de medidas especiais para preservar o caminho de transmissão da informação.

Topologia de barramento- um dos mais simples. Está associado ao uso de um cabo coaxial como meio de transmissão. Os dados do nó da rede de transmissão são distribuídos pelo barramento em ambas as direções. Os nós intermediários não traduzem mensagens recebidas. A informação chega a todos os nós, mas somente aquele ao qual é endereçada recebe a mensagem. A disciplina de serviço é paralela.

Isso fornece uma LAN de alto desempenho com uma topologia de barramento. A rede é fácil de expandir e configurar e se adaptar a diferentes sistemas A rede de topologia de barramento é resistente a possíveis avarias nós individuais.

As redes de topologia de barramento são as mais comuns atualmente. Deve-se notar que eles são curtos e não permitem o uso de diferentes tipos de cabos dentro da mesma rede.

Topologia em estrelaé baseado no conceito de um nó central ao qual os nós periféricos estão conectados. Cada nó periférico tem sua própria linha de comunicação separada com o nó central. Todas as informações são transmitidas através do nó central, que retransmite, comuta e roteia os fluxos de informações na rede.

A topologia em estrela simplifica muito a interação dos nós da LAN entre si, permite o uso de adaptadores de rede. Ao mesmo tempo, o desempenho de uma LAN com topologia em estrela é totalmente dependente do nó central.

Em redes de computadores reais podem ser utilizadas topologias mais desenvolvidas, que em alguns casos representam combinações das consideradas.

A escolha de uma determinada topologia é determinada pelo escopo da LAN, pela localização geográfica de seus nós e pela dimensão da rede como um todo.

Internet- uma rede informática mundial de informação, que é uma associação de muitas redes informáticas regionais e computadores que trocam informações entre si através de canais públicos de telecomunicações (linhas telefónicas analógicas e digitais alugadas, canais de comunicação óptica e canais de rádio, incluindo linhas de comunicação por satélite).

Fornecedor- provedor de serviços de rede - uma pessoa ou organização que fornece serviços para conexão a redes de computadores.

Anfitrião (do anfitrião inglês - "o anfitrião que recebe convidados")- qualquer dispositivo que forneça serviços no formato "cliente-servidor" em modo servidor em qualquer interface e seja identificado exclusivamente nessas interfaces. Em um caso mais particular, um host pode ser entendido como qualquer computador, servidor conectado a uma rede local ou global.

protocolo de rede- um conjunto de regras e ações (sequência de ações) que permite conectar e trocar dados entre dois ou mais dispositivos incluídos na rede.

Endereço IP (endereço IP, abreviação de Internet Protocol Address)- único Endereço de rede nó em uma rede de computadores construída usando o protocolo IP. A Internet requer exclusividade de endereço global; no caso de trabalhar em uma rede local, é necessária a exclusividade do endereço dentro da rede. Na versão IPv4 do protocolo, um endereço IP tem 4 bytes.

Nome do domínio- um nome simbólico que ajuda a encontrar os endereços dos servidores da Internet.

13) Tarefas ponto a ponto

A proteção de software e hardware contra acesso não autorizado inclui medidas de identificação, autenticação e controle de acesso ao sistema de informação.

Identificação é a atribuição de identificadores exclusivos para acessar assuntos.

Isso inclui etiquetas de radiofrequência, tecnologias biométricas, cartões magnéticos, chaves magnéticas universais, logins para entrar no sistema, etc.

Autenticação - verificação da titularidade do acesso sujeito ao identificador apresentado e confirmação da sua autenticidade.

Os procedimentos de autenticação incluem senhas, códigos PIN, cartões inteligentes, chaves USB, assinaturas digitais, chaves de sessão, etc. A parte processual dos meios de identificação e autenticação está interligada e, de fato, representa a base básica de todas as ferramentas de software e hardware para garantir a segurança da informação, uma vez que todos os demais serviços são projetados para atender assuntos específicos corretamente reconhecidos pelo sistema de informação. Em geral, a identificação permite que o sujeito se identifique ao sistema de informação e, com a ajuda da autenticação, o sistema de informação confirma que o sujeito é realmente quem afirma ser. Com base na passagem desta operação, é realizada uma operação para fornecer acesso ao sistema de informação. Os procedimentos de controle de acesso permitem que as entidades autorizadas realizem as ações permitidas pelos regulamentos, e o sistema de informação controle essas ações para a correção e correção do resultado obtido. O controle de acesso permite que o sistema oculte dos usuários dados aos quais eles não têm acesso.

O próximo meio de proteção de software e hardware é o registro e a auditoria de informações.

O registro inclui a coleta, acúmulo e armazenamento de informações sobre eventos, ações, resultados que ocorreram durante a operação do sistema de informações, usuários individuais, processos e todos os softwares e hardwares que fazem parte do sistema de informações da empresa.

Como cada componente do sistema de informação possui um conjunto pré-determinado de eventos possíveis de acordo com os classificadores programados, os eventos, ações e resultados são divididos em:

externo, causado pelas ações de outros componentes,
interno, causado pelas ações do próprio componente,
cliente, causado pelas ações de usuários e administradores.

A auditoria de informações consiste em realizar análises operacionais em tempo real ou em um determinado período.

Com base nos resultados da análise, é gerado um relatório sobre os eventos ocorridos ou é iniciada uma resposta automática a uma situação de emergência.

A implementação de log e auditoria resolve as seguintes tarefas:

garantir a responsabilidade de usuários e administradores;
possibilitar a reconstrução da sequência de eventos;
detecção de tentativas de violação da segurança da informação;
fornecer informações para identificar e analisar problemas.

Muitas vezes, a proteção da informação é impossível sem o uso de meios criptográficos. Eles são usados para fornecer serviços de criptografia, integridade e autenticação quando os meios de autenticação são armazenados de forma criptografada pelo usuário. Existem dois métodos principais de criptografia: simétrico e assimétrico.

O controle de integridade permite estabelecer a autenticidade e identidade de um objeto, que é um array de dados, porções individuais de dados, uma fonte de dados, e também garantir a impossibilidade de marcar a ação realizada no sistema com um array de informações. A implementação do controle de integridade é baseada em tecnologias de conversão de dados usando criptografia e certificados digitais.

De outros aspecto importanteé o uso de screening, tecnologia que permite, ao delimitar o acesso dos sujeitos aos recursos de informação, controlar todos os fluxos de informação entre o sistema de informação da empresa e objetos externos, matrizes de dados, sujeitos e contra-sujeitos. O controle de fluxo consiste em filtrá-los e, se necessário, transformar as informações transmitidas.

A tarefa de blindagem é proteger as informações internas de fatores e atores externos potencialmente hostis. A principal forma de implementação de blindagem são firewalls ou firewalls de vários tipos e arquiteturas.

Uma vez que um dos sinais da segurança da informação é a disponibilidade de recursos de informação, garantir um alto nível de disponibilidade é um importante direcionamento na implementação de medidas de software e hardware. Em particular, duas áreas são divididas: garantir a tolerância a falhas, ou seja, failover do sistema, a capacidade de trabalhar quando ocorrem erros e o fornecimento de segurança e Rápida Recuperação após falhas, ou seja, manutenção do sistema.

O principal requisito para os sistemas de informação é que eles sempre funcionem com uma determinada eficiência, tempo de inatividade mínimo e velocidade de resposta.

De acordo com isso, a disponibilidade de recursos de informação é assegurada por:

o uso de uma arquitetura estrutural, o que significa que módulos individuais podem ser desativados ou substituídos rapidamente, se necessário, sem afetar outros elementos do sistema de informação;
garantir a tolerância a falhas devido a: uso de elementos autônomos da infraestrutura de suporte, introdução de excesso de capacidade na configuração de software e hardware, redundância de hardware, replicação de recursos de informação dentro do sistema, Reservar cópia dados, etc
garantindo a manutenibilidade, reduzindo o tempo de diagnóstico e eliminação de falhas e suas consequências.

Outro tipo de meio de segurança da informação são os canais de comunicação seguros.

O funcionamento dos sistemas de informação está inevitavelmente associado à transferência de dados, pelo que também é necessário que as empresas assegurem a proteção dos recursos de informação transmitidos através de canais de comunicação seguros. A possibilidade de acesso não autorizado a dados durante a transmissão de tráfego através de canais de comunicação abertos deve-se à sua disponibilidade geral. Uma vez que "as comunicações em toda a sua extensão não podem ser fisicamente protegidas, portanto, é melhor partir inicialmente do pressuposto de sua vulnerabilidade e fornecer proteção em conformidade" . Para isso, são utilizadas tecnologias de tunelamento, cuja essência é encapsular dados, ou seja, empacotar ou embrulhar os pacotes de dados transmitidos, incluindo todos os atributos de serviço, em seus próprios envelopes. Assim, o túnel é uma conexão segura através de canais de comunicação abertos, através dos quais são transmitidos pacotes de dados protegidos criptograficamente. O tunelamento é usado para garantir a confidencialidade do tráfego, ocultando as informações do serviço e garantindo a confidencialidade e integridade dos dados transmitidos quando usados em conjunto com elementos criptográficos de um sistema de informação. A combinação de encapsulamento e criptografia possibilita a implementação de uma rede privada virtual. Ao mesmo tempo, os endpoints dos túneis que implementam redes privadas virtuais são firewalls que servem a conexão de organizações a redes externas.

Firewalls como pontos de implementação do serviço de redes privadas virtuais

Assim, o encapsulamento e a criptografia são transformações adicionais realizadas no processo de filtragem do tráfego de rede junto com a tradução de endereços. As extremidades dos túneis, além dos firewalls corporativos, podem ser computadores pessoais e móveis dos funcionários, mais precisamente, seus firewalls pessoais e firewalls. Graças a esta abordagem, é garantido o funcionamento de canais de comunicação seguros.

Procedimentos de segurança da informação

Os procedimentos de segurança da informação são geralmente divididos em níveis administrativos e organizacionais.

Os procedimentos administrativos incluem ações gerais realizadas pela direção da organização para regular todos os trabalhos, ações, operações no campo da garantia e manutenção da segurança da informação, implementadas pela alocação dos recursos necessários e monitoramento da eficácia das medidas tomadas.
O nível organizacional representa os procedimentos para garantir a segurança da informação, incluindo gerenciamento de pessoal, proteção física, manutenção da integridade da infraestrutura de software e hardware, eliminação imediata de falhas de segurança e planejamento do trabalho de recuperação.

Por outro lado, a distinção entre procedimentos administrativos e organizacionais não tem sentido, pois os procedimentos de um nível não podem existir separadamente de outro nível, violando assim a relação de proteção. camada física, proteção pessoal e organizacional no conceito de segurança da informação. Na prática, ao garantir a segurança da informação, as organizações não negligenciam os procedimentos administrativos ou organizacionais, portanto, é mais lógico considerá-los como uma abordagem integrada, pois ambos os níveis afetam os níveis físico, organizacional e pessoal de proteção da informação.

A base de procedimentos complexos para garantir a segurança da informação é a política de segurança.

Política de segurança da informação

Política de segurança da informação em uma organização, é um conjunto de decisões documentadas tomadas pela administração da organização e destinadas a proteger a informação e seus recursos associados.

Em termos organizacionais e gerenciais, a política de segurança da informação pode ser um documento único ou elaborada sob a forma de vários documentos ou ordens independentes, mas em qualquer caso deve abranger os seguintes aspectos de proteção do sistema de informação da organização:

proteção de objetos do sistema de informação, recursos de informação e operações diretas com eles;
proteção de todas as operações relacionadas ao processamento de informações no sistema, incluindo software de processamento;
proteção de canais de comunicação, incluindo com fio, canais de rádio, infravermelho, hardware, etc.;
proteção do complexo de hardware contra radiação eletromagnética lateral;
gerenciamento do sistema de segurança, incluindo manutenções, atualizações e ações administrativas.

Cada um dos aspectos deve ser descrito em detalhes e documentado nos documentos internos da organização. Os documentos internos abrangem três níveis do processo de proteção: superior, médio e inferior.

Os documentos de política de segurança da informação de alto nível refletem a abordagem básica da organização para proteger suas próprias informações e conformidade com os padrões nacionais e/ou internacionais. Na prática, existe apenas um documento de nível superior em uma organização, intitulado "Conceito de Segurança da Informação", "Regulamento de Segurança da Informação", etc. Formalmente, esses documentos não têm valor confidencial, sua distribuição não é limitada, mas podem ser emitidos em edição para uso interno e publicação aberta.

Os documentos de nível médio são estritamente confidenciais e dizem respeito a aspectos específicos da segurança da informação da organização: os meios de proteção da informação utilizados, a segurança das bases de dados, comunicações, ferramentas criptográficas e outras informações e processos econômicos da organização. A documentação é implementada na forma de normas técnicas e organizacionais internas.

Os documentos do nível inferior são divididos em dois tipos: regulamentos de trabalho e instruções de operação. Os regulamentos de trabalho são estritamente confidenciais e destinam-se apenas às pessoas que, em serviço, realizam trabalhos na administração de serviços individuais de segurança da informação. As instruções de operação podem ser confidenciais ou públicas; destinam-se ao pessoal da organização e descrevem o procedimento para trabalhar com elementos individuais do sistema de informação da organização.

A experiência mundial mostra que a política de segurança da informação é sempre documentada apenas em grandes empresas que possuem um sistema de informação desenvolvido que impõe requisitos crescentes de segurança da informação, empresas de médio porte na maioria das vezes possuem apenas uma política de segurança da informação parcialmente documentada, pequenas organizações na grande maioria não se preocupe em documentar a política de segurança. Independentemente de o formato da documentação ser holístico ou distribuído, o aspecto básico é o modo de segurança.

Existem duas abordagens diferentes que formam a base política de segurança da informação:

"Tudo o que não é proibido é permitido."
"Tudo o que não é permitido é proibido."

O defeito fundamental da primeira abordagem é que, na prática, é impossível prever todos os casos perigosos e proibi-los. Sem dúvida, apenas a segunda abordagem deve ser usada.

Nível organizacional de segurança da informação

Do ponto de vista da segurança da informação, os procedimentos organizacionais para garantir a segurança da informação são apresentados como “regulamentação das atividades de produção e relacionamento entre os executores em uma base legal que exclui ou dificulta significativamente a apropriação indevida de informações confidenciais e a manifestação de ameaças internas e externas”. .

As medidas de gestão de pessoal destinadas a organizar o trabalho com o pessoal para garantir a segurança da informação incluem a separação de funções e a minimização de privilégios. A divisão de funções prescreve tal distribuição de competências e áreas de responsabilidade, em que uma pessoa não é capaz de interromper um processo crítico para a organização. Isso reduz a chance de erros e abusos. A minimização de privilégios determina que os usuários recebam apenas o nível de acesso apropriado para sua função de trabalho. Isso reduz os danos causados por ações incorretas acidentais ou intencionais.

Proteção física significa o desenvolvimento e adoção de medidas para a proteção direta de edifícios que abrigam os recursos de informação da organização, territórios adjacentes, elementos de infraestrutura, equipamentos de computação, suportes de dados e canais de comunicação de hardware. Isso inclui controle de acesso físico, proteção contra incêndio, proteção de infraestrutura de suporte, proteção contra espionagem e proteção de sistema móvel.

Manter a integridade da infraestrutura de software e hardware é evitar erros estocásticos que ameaçam danificar o complexo de hardware, interromper programas e perder dados. As principais orientações neste aspecto são fornecer suporte ao usuário e software, gerenciamento de configuração, backup, gerenciamento de mídia, documentação e manutenção preventiva.

A resolução rápida de violações de segurança tem três objetivos principais:

Localização de incidentes e redução de danos;
Identificação do infrator;
Prevenção de violações repetidas.

Finalmente, o planejamento de recuperação permite que você se prepare para acidentes, reduza os danos causados e mantenha pelo menos uma quantidade mínima de capacidade de funcionamento.

O uso de software e hardware e canais de comunicação seguros devem ser implementados na organização com base em uma abordagem integrada para o desenvolvimento e aprovação de todos os procedimentos regulatórios administrativos e organizacionais para garantir a segurança da informação. Caso contrário, a adoção de medidas isoladas não garante a proteção das informações e, muitas vezes, pelo contrário, provoca vazamentos de informações confidenciais, perda de dados críticos, danos à infraestrutura de hardware e interrupção dos componentes de software do sistema de informação da organização.

Métodos de segurança da informação

As empresas modernas são caracterizadas por um sistema de informação distribuído que permite levar em consideração os escritórios e armazéns distribuídos da empresa, contabilidade financeira e controle de gestão, informações da base de clientes, levando em consideração a seleção de indicadores e assim por diante. Assim, a matriz de dados é muito significativa, sendo a grande maioria informações de importância prioritária para a empresa em termos comerciais e econômicos. De fato, garantir a confidencialidade dos dados que tenham valor comercial é uma das principais tarefas para garantir a segurança da informação na empresa.

Garantir a segurança da informação na empresa deve ser regulamentado pelos seguintes documentos:

Regulamento de segurança da informação. Inclui a formulação de metas e objetivos para garantir a segurança da informação, uma lista de regulamentos internos sobre ferramentas de segurança da informação e um regulamento sobre a administração do sistema de informação distribuído de uma empresa. O acesso aos regulamentos é limitado à gestão da organização e ao chefe do departamento de automação.
Regulamentos para o suporte técnico de proteção da informação. Os documentos são confidenciais, o acesso é limitado aos funcionários do departamento de automação e da alta administração.
Regulamentos para a administração de um sistema distribuído de proteção da informação. O acesso aos regulamentos é limitado aos funcionários do departamento de automação responsável pela administração do sistema de informação e à alta administração.

Ao mesmo tempo, esses documentos não devem ser limitados, mas os níveis mais baixos também devem ser trabalhados. Caso contrário, se a empresa não tiver outros documentos relacionados à segurança da informação, isso indicará um grau insuficiente de segurança da informação administrativa, uma vez que não há documentos de nível inferior, em particular, instruções para operar elementos individuais do sistema de informação.

Os procedimentos organizacionais obrigatórios incluem:

as principais medidas para diferenciar o pessoal pelo nível de acesso aos recursos de informação,
proteção física dos escritórios da empresa contra penetração direta e ameaças de destruição, perda ou interceptação de dados,
a manutenção da funcionalidade da infraestrutura de hardware e software é organizada na forma de backup automatizado, verificação remota de mídia de armazenamento, suporte ao usuário e software é fornecido mediante solicitação.

Isso também deve incluir medidas regulamentadas para responder e eliminar casos de violações de segurança da informação.

Na prática, muitas vezes observa-se que as empresas não estão suficientemente atentas a esta questão. Todas as atividades em esta direção são realizados exclusivamente em condições de funcionamento, o que aumenta o tempo para eliminar casos de violações e não garante a prevenção de violações repetidas de segurança da informação. Além disso, a prática de planejar ações para eliminar as consequências após acidentes, vazamentos de informações, perda de dados e situações críticas está completamente ausente. Tudo isso piora significativamente a segurança da informação da empresa.

Ao nível de software e hardware, deve ser implementado um sistema de segurança da informação de três níveis.

Critérios mínimos para garantir a segurança da informação:

1. Módulo de controle de acesso:

implementado entrada fechada no sistema de informação, é impossível entrar no sistema fora dos locais de trabalho verificados;
foi implementado o acesso com funcionalidade limitada a partir de computadores pessoais móveis para funcionários;
a autorização é realizada de acordo com logins e senhas formados pelos administradores.

2. Módulo de criptografia e controle de integridade:

é usado um método de criptografia assimétrica para dados transmitidos;
arrays de dados críticos são armazenados em bancos de dados de forma criptografada, o que não permite o acesso a eles mesmo que o sistema de informações da empresa seja hackeado;
controle de integridade é fornecido por um simples assinatura digital todos os recursos de informação armazenados, processados ou transmitidos dentro do sistema de informação.

3. Módulo de blindagem:

implementou um sistema de filtros em firewalls, permitindo controlar todos os fluxos de informação através dos canais de comunicação;
conexões externas a recursos globais de informação e canais de comunicação pública só podem ser feitas por meio de um conjunto limitado de estações de trabalho verificadas que tenham uma conexão limitada com o sistema de informações corporativo;
o acesso seguro dos locais de trabalho dos funcionários para desempenhar suas funções oficiais é implementado por meio de um sistema de dois níveis de servidores proxy.

Finalmente, com a ajuda de tecnologias de tunelamento, uma rede privada virtual deve ser implementada em uma empresa de acordo com um modelo típico de construção para fornecer canais de comunicação seguros entre os diversos departamentos da empresa, parceiros e clientes da empresa.

Apesar do fato de que as comunicações são realizadas diretamente em redes com potencial nível baixo confiança, tecnologias de encapsulamento, graças ao uso de ferramentas criptográficas, garantem proteção confiável de todos os dados transmitidos.

conclusões

O principal objetivo de todas as medidas adotadas no campo da segurança da informação é proteger os interesses da empresa, de uma forma ou de outra, relacionados aos recursos de informação que ela possui. Embora os interesses das empresas não se limitem a uma área específica, todos centram-se na disponibilidade, integridade e confidencialidade das informações.

O problema de garantir a segurança da informação é explicado por duas razões principais.

Os recursos de informação acumulados pela empresa são valiosos.
A dependência crítica das tecnologias da informação causa sua ampla aplicação.

Dada a grande variedade de ameaças existentes à segurança da informação, como a destruição de informação importante, uso não autorizado de dados confidenciais, interrupções na operação da empresa devido a violações do sistema de informação, podemos concluir que tudo isso leva objetivamente a grandes perdas materiais.

Ao garantir a segurança da informação, um papel significativo é desempenhado por ferramentas de software e hardware destinadas a controlar entidades informáticas, ou seja, hardware, elementos de software, dados, formando a última e mais importante fronteira de segurança da informação. A transmissão de dados também deve ser segura no contexto da manutenção de sua confidencialidade, integridade e disponibilidade. Portanto, em condições modernas, as tecnologias de encapsulamento são usadas em combinação com meios criptográficos para fornecer canais de comunicação seguros.

Literatura

Galatenko V.A. Normas de segurança da informação. - M.: Internet University of Information Technologies, 2006.
Partyka T.L., Popov I.I. Segurança da Informação. – M.: Fórum, 2012.